2. 程式人生 > >LAMP架構php禁止解析、user_agent限定及php配置檔案常規設定

LAMP架構php禁止解析、user_agent限定及php配置檔案常規設定

阿新 發佈:2018-11-25

11月20日任務

11.28 限定某個目錄禁止解析php

11.29 限制user_agent

11.30/11.31 php相關配置

 

禁止某目錄PHP解析

某些目錄可以上傳圖片等檔案,如果不設定禁止PHP解析,上傳的PHP檔案如果被執行可能被某些人獲取到系統許可權,從而造成伺服器機密內容的洩露,因此設定這些目錄下的PHP檔案禁止解析就十分重要。

建立測試目錄和檔案

[[email protected] ~]# mkdir  /data/wwwroot/111.com/upload
[[email protected] ~]# vim /data/wwwroot/111.com/upload/test.php
[
 
[email protected] ~]# cat !$
cat /data/wwwroot/111.com/upload/test.php
<?php
echo "test";
?>

設定php禁止解析

[[email protected] ~]# vim /usr/local/apache/conf/extra/httpd-vhosts.conf 
# 在虛擬主機內新增下列程式碼禁止解析PHP
<Directory /data/wwwroot/www.111.com/upload>
    php_admin_flag engine off
</Directory>

重啟apache服務

[[email protected] ~]# /usr/local/apache/bin/apachectl -t
Syntax OK
[[email protected] ~]# /usr/local/apache/bin/apachectl graceful

效果驗證

  • 在瀏覽中輸入直接路徑:111.com/upload/test.php,提示下載test.php,不解析php

 

檢視對於的日誌記錄

192.168.65.1 - - [...:19:14:51 +0800] "GET /upload/test.php HTTP/1.1" 200 22 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36 OPR/49.0.2725.64 (Edition Baidu)"
  • curl測試時會直接返回php原始碼,不會解析php
[[email protected] ~]# curl -x 192.168.65.133:80 111.com/upload/test.php
<?php
echo "test"
?>

對應日誌記錄

192.168.65.133 - - [...:19:15:52 +0800] "HEAD HTTP://111.com/upload/test.php HTTP/1.1" 200 - "-" "curl/7.29.0"

限制user_agent

user_agent可以理解為瀏覽器標識;

CC攻擊:黑客利用大量被控制的計算機(肉雞)來在同一時間對某個網站進行訪問,導致該網站訪問量超出負荷,讓正常使用者無法訪問。訪問日誌中共同的特點是同一時間大量相同的訪問網址和user_agent。

程式碼配置

由於使用了mod_rewrite模組,因此必須開啟主配置檔案內的rewrite模組

# 檢視是否已經開啟,未開啟需要將開頭的#註釋刪除
[[email protected] ~]# cat /usr/local/apache/conf/httpd.conf | grep -i rewrite
LoadModule rewrite_module modules/mod_rewrite.so

修改虛擬主機配置檔案,新增如下程式碼

[[email protected] ~]# vim /usr/local/apache/conf/extra/httpd-vhosts.conf 
...
<IfModule mod_rewrite.c>
    RewriteEngine on
    
    # 接下設定匹配條件
    # OR連線上下2個條件RewriteCond;
    # NC表示忽略大小寫
    RewriteCond %{HTTP_USER_AGENT} .*curl.*[NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
    
    # 配置匹配後的規則,F表示Forbidden
    RewriteRule .* - [F]
</IfModule>
...

效果驗證

  • 不指定user_agent,無法訪問403
[[email protected] ~]# curl -x 127.0.0.1:80 111.com/test.jpg -I
HTTP/1.1 403 Forbidden
Date: ..., ... 11:57:19 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

對應日誌記錄

127.0.0.1 - - [...:19:57:19 +0800] "HEAD HTTP://111.com/test.jpg HTTP/1.1" 403 - "-" "curl/7.29.0"
  • 指定user_agent 使用curl -A來指定user_agent,成功訪問
[[email protected] ~]# curl -A "test" -x 127.0.0.1:80 111.com/test.jpg -I
HTTP/1.1 200 OK
Date: ..., ... 12:00:47 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Last-Modified: ..., ... 13:20:20 GMT
ETag: "18652-5612a0725ed00"
Accept-Ranges: bytes
Content-Length: 99922
Content-Type: image/jpeg

對應的日誌記錄

127.0.0.1 - - [...:20:00:47 +0800] "HEAD HTTP://111.com/test.jpg HTTP/1.1" 200 - "-" "test"

curl -x 省略host

curl -I 只檢視狀態碼

curl -e 指定referer(必須http://開頭)

PHP相關配置

檢視PHP配置檔案的位置

  1. 命令列模式
[[email protected] ~]# /usr/local/php/bin/php -i | grep -i "loaded configuration file"

Loaded Configuration File => /usr/local/php/etc/php.ini
  1. 在要訪問的目錄下建立一個包含phpinfo()的PHP檔案,然後訪問該網頁即可

 

如果上述方法都無法獲取到php.ini的位置資訊,那麼可能是系統安裝時未拷貝php.ini至安裝目錄。

安全函式設定 disable_functions

由於phpinfo會顯示出伺服器內LAMP架構內的很多軟體的配置檔案等重要檔案的資訊,所以在生產環境下最好禁掉,防止被黑客獲取到系統內部php資訊,造成損失。測試環境可以不禁

配置如下:

[[email protected] ~]# vim /usr/local/php/etc/php.ini 
# 我們可以禁止php語言內的一部分功能函式解析,這些函式易被黑客用作獲取本機資訊的工具
# 方法:定位到disable_functions行,在後面新增如下程式碼
disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
...

儲存php配置檔案後重啟apache服務,使配置生效

瀏覽器訪問時就會得到如下的錯誤

fun_error

時區 date.timezone

[[email protected] ~]# vim /usr/local/php/etc/php.ini 

# 定位到date.timezone行,刪除開頭的註釋符,並在後面新增如下程式碼
date.timezone = Asia/Shanghai
...

儲存後重啟apache服務生效配置

設定時區前後日誌記錄時間的變化

# 設定前
[[email protected] ~]# tail -n 2 /tmp/php_errors.log 
[... 13:19:34 UTC] PHP Parse error:  syntax error, unexpected end of file in /data/wwwroot/111.com/test.php on line 4
# 設定後
[... 21:22:01 Asia/Shanghai] PHP Parse error:  syntax error, unexpected end of file in /data/wwwroot/111.com/test.php on line 4

顯示錯誤資訊

  • 配置display_errors
# display_errors開發環境下預設為On(開啟),生產環境最好設定為Off,不然會暴露系統內部路徑
# 設定了Off後,向上文中display_functions禁掉phpinfo後瀏覽器訪問時就只顯示白頁
display_errors = Off

訪問頁面的空白效果

fun_error

  • 設定log_errors和error_log
# 關閉了display_errors後需要設定log_errors和error_log用來記錄錯誤日誌
log_errors = on 
error_log = /tmp/php_error.log #取消註釋,並設定路徑

定義定義日誌的級別

# 開發版預設的是E_ALL,這是最低階的,所有級別的錯誤資訊都會被記錄,這裡使用的是第二個值:E_ALL & ~E_NOTICE
; Common Values:
;   E_ALL (Show all errors, warnings and notices including coding standards.)
;   E_ALL & ~E_NOTICE  (Show all errors, except for notices)
;   E_ALL & ~E_NOTICE & ~E_STRICT  (Show all errors, except for notices and coding standards warnings.)
;   E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR  (Show only errors)
; Default Value: E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED
; Development Value: E_ALL
; Production Value: E_ALL & ~E_DEPRECATED & ~E_STRICT
; http://php.net/error-reporting

error_reporting = E_ALL & ~E NOTICE

如果計劃定義的日誌始終未生成,可能是因為httpd程序使用者對該目錄沒有w許可權。為了保險起見,可以先建立日誌檔案,並賦予777許可權。

  • 測試效果
[[email protected] ~]# vim /data/wwwroot/111.com/test.php
//輸入如下程式碼,該程式碼是錯誤的,日誌將會記錄語法錯誤
<?php
echo 111;
test

檢視是否在指定的路徑生成了錯誤日誌

[[email protected] ~]# ls -l /tmp/php_errors.log 
-rw-r--r--. 1 daemon daemon 399 12月 26 20:54 /tmp/php_errors.log

使用curl命令進行測試(瀏覽器無法處理錯誤的PHP檔案)

# curl命令返回的狀態碼為500
[[email protected] ~]# curl -A "test" -x127.0.0.1:80 http://111.com/test.php -I
HTTP/1.0 500 Internal Server Error
Date: ..., ... 13:18:25 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Connection: close
Content-Type: text/html; charset=UTF-8

對應錯誤日誌記錄

[[email protected] ~]# tail -n 1 /tmp/php_errors.log 
[... 21:32:01 Asia/Shanghai]PHP Parse error:  syntax error, unexpected end of file in /data/wwwroot/111.com/test.php on line 4

安全相關的引數 open_basedir

網站的某個目錄下的網頁被黑,設定了open_basedir將起到隔離的作用,將目標限制在某一個目錄下

  1. php配置檔案:針對網站下的所有目錄
[[email protected] ~]# vim /usr/local/php/etc/php.ini 
...
# 定位到該行,指定路徑
open_basedir = /data/wwwroot/111.com:/tmp
...
  1. 虛擬主機配置檔案,限定在特定的虛擬主機下
[[email protected] ~]# vim /usr/local/apache/conf/extra/httpd-vhosts.conf
# 可以針對不同的虛擬主機限制不同的open_basedir
# 在某個虛擬主機下設定
# php_admin_value可以配置php.ini內的配置:如error_log等

php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

相關推薦

LAMP架構php禁止解析user_agent限定php配置檔案常規設定

11月20日任務 11.28 限定某個目錄禁止解析php 11.29 限制user_agent 11.30/11.31 php相關配置   禁止某目錄PHP解析 某些目錄可以上傳圖片等檔案,如果不設定禁止PHP解析,上傳的PHP檔案如果被執行可能被某些人獲取到

CentOS安裝RedisPHPredis擴充套件Redis配置檔案詳解

一.redis安裝1. 下載Rediscd /app/wget http://download.redis.io/releases/redis-2.8.7.tar.gz2. 編譯安裝Redistar xf redis-2.8.7.tar.gzcd redis-2.8.7make && make

LAMP(apache禁止解析php,限制user_agentphp配置,open_bashdir

apache禁止解析php 限制user_agent php相關配置 open_bashdir apache壓縮功能/https搞ss 一、apache禁止解析php.實例:假如我們的一個目錄是允許上傳圖片的,可能有些別有用心的人通過某些手段上傳php文件上來。也就意味著被執行的文件,可能

centos 配置Apache2.4+php7,php無法解析mysqli()報錯找不到問題

踩坑日記 最好先裝Apache,然後裝mysql,最後裝php,原因如下: 回到編譯安裝php,配置引數的時候(只列出個人覺得需要注意的) ./configure \ --prefix=/usr/local/php7 \

Android-json解析(三):原生JSONObject+JSONArray的解析遍歷生成等

一、JSONObject和JSONArray的資料表示形式 JSONObject的資料是用 { } 來表示的, 例如: { "id":"1", "courseID":"化學", "title":"滴定實驗",

nginx1-dns域名解析|nginx入門|win下搭建|配置檔案解析

DNS域名解析器 DNS,域名系統,是網際網路上作為域名和IP地址相互對映的一個分散式資料庫 目的:將域名轉化成ip 過程 ------------------本機------------------ 1.輸入網址(www.163.com) 2.瀏覽器檢查快取中有沒有這個域名

linux下操作mysqlnginx,vim操作,檔案許可權設定

inux下操作mysql、nginx,vim操作,檔案許可權設定等 #在Linux系統下,預設所有系統配置檔案都在/etc這個路徑下的 #Linux環境下安裝mysql資料庫 ##1、切換到root許可權下,採用yum命令安裝 同時安裝mariadb的客戶端和服務端

JAVA安裝解除安裝基本配置

基本上從入門到實用非常全面了。 安裝 安裝Eclipse先配置jdk jdk下載地址:https://www.oracle.com/technetwork/java/javase/downloads/index.html (此處以jdk8為示例) 一、安裝jdk

redis持久化的RDBAOF優缺點常用配置

1、簡介 Redis是一種高階key-value資料庫。它跟memcached類似,不過資料可以持久化,而且支援的資料型別很豐富。有字串,連結串列,集 合和有序集合。支援在伺服器端計算集合的並,交和補集(difference)等,還支援多種排序功能。所以Redis也可以被看成是一個數據結構服務

0080-【Python系統】-使用configparserConfigObj來讀入配置檔案

configparser 是python標準庫中唯一 一個具有指定的配置檔案操作, 基本的讀取配置檔案 -read(filename) 直接讀取ini檔案內容 -sections() 得到所有的se

二十七修改本地臨時檔案儲存目錄Hadoop配置檔案說明

             修改本地臨時檔案儲存目錄及Hadoop配置檔案說明 1、 修改本地臨時檔案儲存目錄 1.1、停止程序 [[email protected] hadoop-2.7.2]

GetPrivateProfileStringWritePrivateProfileString讀寫.ini配置檔案應用例項

應用背景(需求):配置工具(exe)開啟一個prof後,下次該prof將作為預設開啟的prof 分析:當開啟一個檔案後,立刻獲取檔案的檔名,並儲存到 .ini 檔案內,在配置工具的的程式初始化函式中加入

DNS解析過程相關配置檔案

參考文獻:http://linux.vbird.org/linux_server/0350dns.php 文章目錄 1. DNS解析過程 1.1 DNS解析過程中兩種模式 2.DNS伺服器型別 3.DNS伺服器安裝配置

ShellBash,與終端配置檔案

shell——命令解析器,也是一種程式設計語言 bash——是shell的具體例項,zsh、bash都是shell的例項 在終端中可以通過【echo $SHELL】指令檢視當前使用的shell例項,

公有鏈聯盟鏈私有鏈網路配置介紹

以太坊網路 去中心化共識的基礎是參與節點的點對點網路,節點維護並保證區塊鏈網路的安全。參見挖礦。 以太坊網路資料統計 EthStats.net是以太坊網路實時資料的儀表板,這個儀表板展示重要資訊,諸如現在的區塊,散表難度,gas價格和gas花費等。頁面上顯示的節點只

ssm框架中,web專案中applicationContext.xml相關配置檔案解析

一、概述 applicationContext.xml,即Spring上下文配置檔案,用於完成Spring和MyBatis的整合。主要配置bean自動掃描、依賴注入、資料庫、事務等。如下 <?xml version="1.0" encoding="UTF-8"?> &l

區塊鏈開發(十二)公有鏈聯盟鏈私有鏈網路配置介紹

以太坊網路 去中心化共識的基礎是參與節點的點對點網路,節點維護並保證區塊鏈網路的安全。參見挖礦。 以太坊網路資料統計 EthStats.net是以太坊網路實時資料的儀表板,這個儀表板展示重要資訊,諸如現在的區塊,散表難度,gas價格和gas花費等。

Redis系列(一)--安裝helloworld以及讀懂配置檔案

再開個redis系列,本系列打算不詳細講一系列的命名的了(會推薦別人寫的,人家寫的夠詳細了),我直接就是做redis方案提供,當然一開始還是講下helloworld和配置檔案好了。會逐步更新,歡迎關注。 文章結構:(1)安裝;(2)helloworld;(

mavenspring boot 中log4j配置檔案的應用

1.新增log4j相應jar包:<!-- 日誌檔案管理包 --> <dependency> <groupId>log4j</groupId> <artifactId

nginx反向代理緩存壓縮配置實戰

rem keys 重啟 time share 匹配 remote 內存 tex 一、反向代理配置 (原文鏈接:http://www.studyshare.cn/blog-front//blog/details/1155/0 ) 準備:兩個項目分別使用端口8080,8081