Linux下Apache與PHP安全相關(guān)設(shè)置

1、linux下apache與php安全相關(guān)設(shè)置在php.ini配置文件中的大部分功能,均可以用這種方式來(lái)調(diào)節(jié),調(diào)節(jié)后應(yīng)重新啟動(dòng)apache,然后 就可以在phpinfo中看到中間欄的local value同右邊欄位的master value是不同值. 請(qǐng)注重: 有些參數(shù)值的設(shè)定辦法跟它們?cè)趐hp.ini配置文件中的設(shè)置辦法可能不一樣,例如 上面的 register_globals 1 , 本來(lái)在php.ini中應(yīng)是 register_globals on . = (1) safe_mode: 以平安模式運(yùn)行php; 在php.ini文件中用法如下選項(xiàng)(這是影響全局的設(shè)置): safe_mode

2、= on (用法平安模式) safe_mode = off (關(guān)閉平安模式) php的平安模式是為了試圖解決分享伺服器(shar-server)的平安問(wèn)題而特地設(shè)立的. 然而 從結(jié)構(gòu)上看, 試圖在php層面上解決這個(gè)問(wèn)題其實(shí)是不合理的, 只是考慮到修改web伺服器層 和操作系統(tǒng)層都顯得十分的不現(xiàn)實(shí), 因此許多用法者,特殊是提供公共網(wǎng)絡(luò)服務(wù)的isp供給商, 大多都在其服務(wù)器中要求以平安模式來(lái)運(yùn)行php,用以防止合法用戶的跨站讀取或越權(quán)操作等 危急行為, 以及將非授權(quán)用戶的惡意行為所造成的影響降到最低范圍. 參址: 在apache的.conf中virtualhost的相應(yīng)設(shè)置辦法(這是針對(duì)特定用戶

3、的設(shè)置): php_admin_flag safe_mode on (用法平安模式) php_admin_flag safe_mode off (關(guān)閉平安模式) 或者： php_admin_value safe_mode 1 (用法平安模式) php_admin_value safe_mode 0 (關(guān)閉平安模式) 嚴(yán)峻警告: 假如在全局性設(shè)置中已經(jīng)啟用了safe_mode的功能,但又在特殊的用戶虛擬空間中 關(guān)閉該用戶的safe_mode的功能,這就等于賦予了該用戶特別的權(quán)限,允許他不須受safe_mode 的限制而自由地用法系統(tǒng)的服務(wù),也就是說(shuō)全部本來(lái)被全局性的safe_mode功能所禁止的

4、行為, 例如跨站讀取或越權(quán)操作等都可以被該用戶執(zhí)行, 這就好似在原本平安設(shè)防的金庫(kù)中打開(kāi)了 一個(gè)可供該用戶自由進(jìn)出的洞,因此任何用法該用戶空間的應(yīng)用都不再被全局性的safe_mode 庇護(hù)所限制,固然這就意味著囫圇系統(tǒng)的平安性都可能會(huì)受到該用戶空間的影響,包括可能因 該空間應(yīng)用的漏洞而導(dǎo)致囫圇系統(tǒng)被入侵等等. 所以,這樣的針對(duì)特定用戶的特別設(shè)置,應(yīng)該 作為一種特許授權(quán)的方式來(lái)考慮, 并有須要建立有效的監(jiān)控機(jī)制以防止該用戶濫用系統(tǒng)資源, 否則, 一旦該用戶變得不再可相信或他的網(wǎng)站程序存在漏洞, 那么您的整體系統(tǒng)所受的影響 就會(huì)同徹低沒(méi)有啟用safe_mode千篇一律. = = (2) safe_

5、mode_ilude_dir: 無(wú)需uid/gid檢查的名目 當(dāng)您根據(jù)前面(1)所述之設(shè)置啟用php的平安模式之后,php的腳本在運(yùn)行時(shí)就會(huì)對(duì)全部被操作 的名目以及文件舉行針對(duì)uid/gid的匹配性檢查: 即檢查被操作名目或文件的uid或gid,是否 同當(dāng)前php腳本文件的uid或gid一樣. 然而, 假如您的系統(tǒng)允許用戶的php腳本拜訪公共路徑的話(例如無(wú)數(shù)較舊的forum或gallery 程序都會(huì)挺直引用系統(tǒng)文件來(lái)擴(kuò)展當(dāng)初php還未能支持的功能), 那么這種設(shè)置就會(huì)造成棘手. 而用法safe_mode_include_dir設(shè)置可以指定某些名目, 當(dāng)php腳本操作這些名目及其子名目 時(shí)(該

6、名目必需在include_path中或者用盡整路徑來(lái)包含), 則允許越過(guò)uid/gid檢查,即不對(duì) 該名目舉行uid/gid匹配性檢查. 從php4.2.0開(kāi)頭, 這個(gè)命令已經(jīng)可以接受同include_path命令類似的風(fēng)格, 即用分號(hào)隔開(kāi)的 多個(gè)路徑, 而以前則只能指定單一個(gè)名目. 同open_bair一樣, 它所指定的路徑事實(shí)上也 是一個(gè)字符串的前綴限制,而非針對(duì)該名目名稱空間的操作. 例如假如指定: safe_mode_include_dir = /dir/incl , 那么全部的php腳本都將允許隨意 拜訪 /dir/include 和 /dir/incls 路徑(假如它們存在的話).

7、 因此, 假如您希翼將拜訪 控制在一個(gè)指定的名目里面, 就必需在上述設(shè)置的指定路徑的結(jié)尾加上一個(gè)斜線, 例如: safe_mode_include_dir = /dir/incl/ 請(qǐng)注重: virtualhost會(huì)自動(dòng)繼承php.ini中的safe_mode_include_dir設(shè)置. = = (3) open_basedir: 將用戶可操作的文件限制在某名目下; 如下是php.ini中的原文解釋以及默認(rèn)配置: ; open_basedir, if , limits all file operations to the defined directory ; and below. this

8、 directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. this directive is ; *not* affected by whether safe mode is turned on or off. open_basedir = . open_basedir可將用戶拜訪文件的活動(dòng)范圍限制在指定的區(qū)域，通常是其家名目的路徑，也 可用符號(hào) . 來(lái)代表當(dāng)前名目。注重用open_basedir指定的限制事實(shí)上是前綴,而不是名目名。 舉例

9、來(lái)說(shuō): 若 open_basedir = /dir/user , 那么名目 /dir/user 和 /dir/user1 都是 可以拜訪的。所以假如要將拜訪限制在僅為指定的名目，請(qǐng)用斜線結(jié)束路徑名。例如設(shè)置成: open_basedir = /dir/user/ open_basedir也可以同時(shí)設(shè)置多個(gè)名目, 在windows中用分號(hào)分隔名目,在任何其它系統(tǒng)中用 冒號(hào)分隔名目。當(dāng)其作用于apache模塊時(shí)，父名目中的open_basedir路徑自動(dòng)被繼承。 有三種辦法可以在apache中為指定的用戶做自立的設(shè)置: (a) 在apache的httpd.conf中directory的相應(yīng)設(shè)置辦法

10、: directory /usr/local/apache/htdocs php_admin_value open_basedir /usr/local/apache/htdocs/ 設(shè)置多個(gè)名目可以參考如下: php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/ /directory (b) 在apache的httpd.conf中virtualhost的相應(yīng)設(shè)置辦法: php_admin_value open_basedir /usr/local/apache/htdocs/ 設(shè)置多個(gè)名目可以參考如下: php_admin_

11、value open_basedir /var/www/html/:/var/tmp/ (c) 由于virtualhost中設(shè)置了open_basedir之后, 這個(gè)虛擬用戶就不會(huì)再自動(dòng)繼承php.ini 中的open_basedir設(shè)置值了,這就難以達(dá)到靈便的配置措施, 所以建議您不要在virtualhost 中設(shè)置此項(xiàng)限制. 例如,可以在php.ini中設(shè)置open_basedir = .:/tmp/, 這個(gè)設(shè)置表示允許 拜訪當(dāng)前名目(即php腳本文件所在之名目)和/tmp/名目. 請(qǐng)注重: 若在php.ini所設(shè)置的上傳文件暫時(shí)名目為/tmp/, 那么設(shè)置open_basedir時(shí)就必需

12、 包含/tmp/,否則會(huì)導(dǎo)致上傳失敗. 新版php則會(huì)提醒 open_basedir restriction in effect 警告信息, 但move_uploaded_file()函數(shù)仍然可以勝利取出/tmp/名目下的上傳文件,不知道 這是漏洞還是新功能. = = (4) disable_functions: 單獨(dú)地屏蔽某些函式(常用于禁止一般用戶執(zhí)行系統(tǒng)函數(shù)); 這個(gè)命令允許你基于平安緣由挺直禁止某些確定的函式(通常是攸關(guān)系統(tǒng)平安的函數(shù)),例如: disable_functions = shell_ec,system,exec,passthru,show_source,get_cfg_v

13、ar disable_functions接受逗號(hào)分隔的函式名列表作為參數(shù), 它不受平安模式的影響,而且只能 設(shè)置在php.ini中用作全局性配置, 不能將其設(shè)置在httpd.conf中針對(duì)單獨(dú)用戶來(lái)舉行設(shè)置. 從php-4.0.1開(kāi)頭在php.ini里引入了此項(xiàng)功能, 這個(gè)功能十分實(shí)用, 可以用它禁止用戶用法 一些具有潛在的危急性的函數(shù), 例如: passthru,exec,system,popen 等等. 當(dāng)您在php.ini 中加上 disable_functions = passthru,exec,system,popen 配置后, php在執(zhí)行這些函數(shù) 時(shí)就只會(huì)顯示錯(cuò)誤提醒: warning: system() has been disabled for security reasons 下面舉個(gè)例子來(lái)看看這個(gè)平安性設(shè)置的重要程度: 我們知道php腳本可以采納無(wú)數(shù)perl的特性,例如通