ホームページ >バックエンド開発 >PHPチュートリアル >PHPセキュリティトーク_PHPチュートリアル
1. Apache サーバーのセキュリティ設定
1. Nobody ユーザーとして実行します
通常、Apache は Root によってインストールされ、実行されます。 Apache サーバー プロセスに Root ユーザー権限がある場合、システム セキュリティに大きな脅威となるため、Apache サーバー プロセスが可能な限り低い権限を持つユーザーとして実行されるようにする必要があります。 httpd.conf ファイル内の次のオプションを変更すると、Apache を Nobody ユーザーとして実行して、相対的なセキュリティを実現できます。
UserEveryone
Group# -1
2. ServerRoot ディレクトリの権限
すべての設定が適切で安全であることを保証するために、スーパーユーザー以外がアクセスできないように、Apache ホーム ディレクトリのアクセス権限を厳密に制御する必要があります。ディレクトリの内容を変更します。 Apache のホーム ディレクトリは、Apache サーバー設定ファイル httpd.conf のサーバー ルート制御項目に対応します。これは、設定ファイル access.conf 内の
Server Root /usr/local/apache
3. SSI 設定
である必要があります。または httpd conf の Options ディレクティブに include NO EXEC オプションを追加して、Apache Server の実行機能を無効にします。ユーザーが Apache サーバー内の実行プログラムを直接実行できないようにします。これにより、サーバー システムが漏洩する可能性があります。
オプションには Noexec が含まれます
4. ユーザーがシステム設定を変更できないようにする
ユーザーが .htaccess ファイルを作成および変更できないようにし、定義されたシステム セキュリティ機能を超えないようにするために、Apache サーバー構成ファイルで次の設定を行います。
AllowOveride なし
オプション なし
すべてから許可
次に、特定のディレクトリを適切に設定します。
5. Apache サーバーのデフォルトのアクセス特性を変更する
Apache のデフォルト設定では、サーバーが通常のマッピング ルールを通じてファイルを見つけることができる場合のみ、クライアントはファイルを取得します。 http:// /local host/~ root/ により、ユーザーはファイル システム全体にアクセスできるようになります。次のコンテンツをサーバー ファイルに追加します:
orderdeny,ellow
Deny from all
はファイル システムへのデフォルトのアクセスを無効にします。
6. CGI スクリプトのセキュリティに関する考慮事項
CGI スクリプトは、Web サーバーを通じて実行できる一連のプログラムです。システムのセキュリティを確保するには、CGI の作成者が信頼できるものであることを確認する必要があります。 CGI の場合は、管理を容易にするために、ファイルを cgi-bin などの特定のディレクトリに制限するのが最善です。また、不正なプログラムが常駐したり混在したりするのを避けるために、CGI ディレクトリ内のファイルが書き込み不可であることを確認する必要があります。その中で、セキュリティに優れた CGI プログラムのモジュールをリファレンスとして提供できれば、CGI ディレクトリ内の業務以外のアプリケーション スクリプトをすべて削除し、異常な情報漏洩を防ぐことができます。
7. SSL リンク暗号化
上記の一般的な対策により、Apache サーバーに基本的な安全な動作環境を提供できますが、実際のアプリケーションと一致するセキュリティ構成計画を策定するには、特定の実装でさらに詳細な分析が必要であることは明らかです。
2. PHP セキュリティ設定
サーバーは、プログラムの脆弱性、ユーザー入力フォームの問題、PHP ファイルのアクセス許可の問題など、すべてのセキュリティ問題を防ぐことはできません。
何らかの手段を使って、ハッカーや不純な動機を持つ人々を混乱させることもできます。
1. プログラムコードの脆弱性の問題
多くの PHP プログラムの主な弱点は、PHP 言語自体の問題ではなく、プログラマーのセキュリティ意識の低さが原因です。したがって、誤ったデータ送信による影響を発見するには、コードの各部分で起こり得る問題に常に注意を払う必要があります。