Empfohlene zehn PHP-Sicherheitspunkte, die Linux-Administratoren kennen müssen

PHP ist eine der am weitesten verbreiteten Skript-Programmiersprachen. Der Marktanteil sagt Bände über seine beherrschende Stellung. Die Tatsache, dass PHP 7 eingeführt wurde, macht diese Programmiersprache für aktuelle Entwickler noch attraktiver. Trotz einiger Änderungen stehen viele Entwickler der Zukunft von PHP skeptisch gegenüber. Ein Grund ist die Sicherheit von PHP.

Linux-Administratoren müssen die zehn wichtigsten PHP-Sicherheitspunkte kennen
PHP ist eine der am häufigsten verwendeten Skriptsprachen. Der Marktanteil sagt Bände über seine beherrschende Stellung. Die Tatsache, dass PHP 7 eingeführt wurde, macht diese Programmiersprache für aktuelle Entwickler noch attraktiver. Trotz einiger Änderungen stehen viele Entwickler der Zukunft von PHP skeptisch gegenüber. Ein Grund ist die Sicherheit von PHP.

Die Sicherheit von PHP ist für Entwickler ein großes Anliegen. Obwohl PHP von innen heraus solide Sicherheit bietet, liegt es an den Entwicklern, diese Sicherheitsmechanismen richtig zu implementieren. In diesem Artikel stellen wir mehrere PHP-Sicherheitspunkte für Linux-Administratoren vor. Diese Punkte helfen Ihnen, Ihre Webanwendung zu sichern und sicherzustellen, dass sie langfristig ordnungsgemäß funktioniert.

Bevor wir beginnen, ist es notwendig, das System zu verstehen, mit dem wir es zu tun haben. Zu Demonstrationszwecken verwenden wir Fedora. Diese Punkte sollten jedoch für Ubuntu-Versionen oder jede andere Linux-Distribution gelten. Weitere Informationen finden Sie im Handbuch Ihrer Betriebssystemdistribution.

Schauen wir uns einige Schlüsseldateien unserer Systemumgebung genauer an. Ihre Datei sollte der folgenden ähneln oder dieser entsprechen:

Standard-Webserver: Apache

DocumentRoot: /var/www/html

PHP-Konfigurationsdatei: /etc/php . ini

Erweitertes Konfigurationsverzeichnis: /etc/php.d/

Sicherheitsdatei: /etc/php.d/security.ini

Diese Tipps schützen Ihre Website, Vermeiden Sie verschiedene Arten gängiger Angriffe wie SQL-Injection, XSS, Cross-Site-Request-Forgery-Angriffe, eval() und File-Upload-Angriffe. Eine Liste häufiger Angriffe finden Sie hier (https://www.sitepoint.com/top-10-php-security-vulnerabilities/).

1. Löschen Sie nicht benötigte Module.

PHP verfügt über ein integriertes PHP-Modul. Sie sind für viele Aufgaben nützlich, aber nicht jedes Projekt erfordert sie. Geben Sie einfach den folgenden Befehl ein, um die verfügbaren PHP-Module anzuzeigen:

# php - m

Sobald Sie die Liste angezeigt haben, können Sie nun unnötige Module löschen. Die Reduzierung der Anzahl der Module trägt dazu bei, die Leistung und Sicherheit der Webanwendungen, an denen Sie arbeiten, zu verbessern.

2. Begrenzen Sie den Verlust von PHP-Informationen.

Es kommt häufig vor, dass Plattformen wichtige Informationen preisgeben. PHP gibt beispielsweise Informationen wie die Version und die Tatsache, dass es auf dem Server installiert wurde, preis. Dies kann über den Befehl „exposure_php“ erreicht werden. Um Lecks zu verhindern, müssen Sie diesen Befehl in /etc/php.d/security.ini deaktivieren.

expose_php=Off

Wenn Sie die Version und ihren Status wissen müssen, führen Sie einfach einen einfachen Curl-Befehl für die Website-Adresse aus, um die Informationen zu erhalten.

Curl - I http://www.kubiji.cn/index.php

Der vorherige Befehl gibt die folgenden Informationen zurück:

HTTP/1.1 200 OK

X-Powered-By: PHP/7.0.10

Content-type: text/html; charset=UTF-8

3.

Remote-Codeausführung ist eine der häufigsten Sicherheitslücken in PHP-Sicherheitssystemen. Standardmäßig ist die Remotecodeausführung auf Ihrem System aktiviert. Mit dem Befehl „allow_url_fopen“ können Funktionen wie „require“, „include“ oder URL-fähige Fopen-Wrapper direkt auf PHP-Dateien zugreifen. Der Fernzugriff wird durch die Verwendung von HTTP- oder FTP-Protokollen erreicht, was dazu führt, dass das System nicht in der Lage ist, Sicherheitslücken durch Code-Injection abzuwehren.

Um sicherzustellen, dass Ihr System sicher und vor Remote-Codeausführung geschützt ist, können Sie diesen Befehl auf „Aus“ setzen, wie unten gezeigt:

Allow_url_fopen=Off

allow_url_include =Aus

4. PHP-Fehler protokollieren.

Eine weitere einfache Möglichkeit, die Sicherheit Ihrer Webanwendung zu erhöhen, besteht darin, den Besuchern keine Fehler anzuzeigen. Dadurch wird sichergestellt, dass Hacker die Sicherheit der Website überhaupt nicht gefährden können. Es muss in der Datei /etc/php.d/security.ini bearbeitet werden.

display_errors=Off

Jetzt denken Sie vielleicht: „Wie können Entwickler ohne die Hilfe von Fehlermeldungen debuggen?“ Entwickler können den Befehl log_errors zum Debuggen verwenden. Sie müssen lediglich den Befehl log_errors in der Datei security.ini auf „Ein“ setzen.

log_errors=On

error_log=/var/log/httpd/php_scripts_error.log

5.

Um die Sicherheit Ihrer Anwendung zu gewährleisten, ist es wichtig, die Ressourcen zu kontrollieren. Um eine ordnungsgemäße Ausführung und Sicherheit zu gewährleisten, müssen Sie die Ausführung von PHP-Skripten einschränken. Darüber hinaus sollte die Zeit, die für das Parsen von Anforderungsdaten aufgewendet wird, begrenzt sein. Wenn die Ausführungszeit gesteuert wird, sollten auch andere vom Skript verwendete Ressourcen wie der Speicher entsprechend konfiguriert werden. Alle diese Metriken können durch Bearbeiten der Datei security.ini verwaltet werden.

# in Sekunden eingestellt

max_execution_time = 25

max_input_time = 25

memory_limit = 30M

6. Gefährliche PHP-Funktionen deaktivieren

PHP verfügt über nützliche Funktionen für die Entwicklung, kann aber auch von Hackern zum Einbruch verwendet werden Web Eine Vielzahl von Funktionen für die Anwendung. Das Deaktivieren dieser Funktionen verbessert die allgemeine Sicherheit und stellt sicher, dass Sie keinen gefährlichen PHP-Funktionen ausgesetzt sind.

Dazu müssen Sie zunächst die Datei php.ini bearbeiten. Suchen Sie in der Datei nach dem Befehl „disable_functions“ und deaktivieren Sie die darin enthaltenen gefährlichen Funktionen. Dazu kopieren Sie einfach den folgenden Code und fügen ihn ein.

disable_functions =exec,passthru,

shell_exec,system,proc_open,popen,curl_exec,

curl_multi_exec,parse_ini_file,show_source

Sie können hier ( https ://www.eukhost.com/blog/webhosting/dangerous-php-functions-must-be-disabled/) Erfahren Sie mehr über das Deaktivieren gefährlicher PHP-Funktionen.

7. Dateien hochladen.

Wenn für Ihre Anwendung kein Hochladen von Dateien erforderlich ist, kann die Deaktivierung der Möglichkeit zum Hochladen von Dateien zur Verbesserung der Sicherheit beitragen. Wenn Sie Benutzern das Hochladen von Dateien verbieten möchten, müssen Sie nur die Datei security.ini im Verzeichnis /etc/php.d/ bearbeiten und den Befehl file_uploads auf OFF setzen.

file_uploads=Aus

8. Halten Sie die Version auf dem neuesten Stand.

Entwickler arbeiten rund um die Uhr daran, die von Ihnen verwendete Technologie zu patchen. Das Gleiche gilt für PHP. Da es eine Open-Source-Community gibt, werden regelmäßig Patches und Fixes veröffentlicht. Die aktualisierte Version bietet außerdem Sicherheitspatches für Sicherheitslücken vom ersten Tag an und andere Sicherheitslücken. Wenn Ihnen die Anwendungssicherheit am Herzen liegt, stellen Sie immer sicher, dass Ihre PHP-Lösung auf dem neuesten Stand ist. Darüber hinaus kann die Anwendung der neuesten Patches auf andere verwandte Technologien maximale Sicherheit gewährleisten.

9. Kontrollieren Sie den Dateisystemzugriff.

Standardmäßig kann PHP Funktionen wie fopen() verwenden, um auf Dateien zuzugreifen. Der Zugriff erfolgt über den Befehl open_basedir. Stellen Sie zunächst immer den Befehl open_basedir auf das Verzeichnis /var/www/html ein. Das Festlegen eines anderen Verzeichnisses kann zu Sicherheitsproblemen führen.

open_basedir="/var/www/html/"

10.

Unser letzter PHP-Sicherheitspunkt ist die POST-Größenkontrollfunktion. Die HTTP-POST-Funktion verwendet den Browser des Clients, um Daten an den Webserver zu senden. Beispielsweise könnte ein Benutzer ein Zertifikat hochladen, das dann zur Verarbeitung an den Webbrowser gesendet wird. Alles lief reibungslos, bis eines Tages ein Hacker versuchte, eine riesige Datei zu versenden, die die Ressourcen des Servers erschöpfte. Dies wird höchstwahrscheinlich dazu führen, dass der Server abstürzt oder langsam reagiert. Um den Server vor dieser Schwachstelle zu schützen, muss die POST-Größe festgelegt werden. Die POST-Größe kann in der Datei /etc/php.d/security.ini festgelegt werden.

post_max_size=1k

Fazit

Sicherheit ist eines der besorgniserregendsten Probleme für Webentwickler und Linux-Administratoren. Wenn Sie die oben genannten Punkte beachten, können Sie die Sicherheit Ihrer Entwicklungsumgebung und PHP-Webanwendungen stärken. Wenn Sie der Meinung sind, dass wir etwas Wichtiges übersehen haben, hinterlassen Sie bitte eine Nachricht, um es hinzuzufügen.