导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。 原文是《Top 10 PHP Best Security Practices for Sys Admins》, 以下是译文: PHP
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。原文是《Top 10 PHP Best Security Practices for Sys Admins》,以下是译文:
PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等)。本文例举了十大PHP最佳安全实践方式,能够让您轻松、安全配置PHP。
PHP安全性设置提示:
| DocumentRoot: /var/www/
Default Web server: Apache Default PHP configuration file: /etc/php.ini Default PHP extensions config directory: /etc/php.d/ Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor) Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX). |
1. 减少PHP内置模块
为了增强性能和安全性,强烈建议,减少PHP中的模块。来看看下面这个被执行命令安装的模块。
<ol><li><span><span># php –m </span></span></li></ol>
你将会得到类似的结果:
| [PHP Modules] apc bcmath bz2 calendar Core ctype curl date dom ereg exif fileinfo filter ftp gd gettext gmp hash iconv imap json libxml mbstring memcache mysql mysqli openssl pcntl pcre PDO pdo_mysql pdo_sqlite Phar readline Reflection session shmop SimpleXML sockets SPL sqlite3 standard suhosin tokenizer wddx xml xmlreader xmlrpc xmlwriter xsl zip zlib [Zend Modules] Suhosin |
删除一个模块,并执行此命令。例如:删除模块sqlite3
<ol> <li><span><span># rm /etc/php.d/sqlite3.ini </span></span></li> <li><span> </span></li> </ol>
或者
<ol><li><span><span># mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict </span></span></li></ol>
2. 使PHP信息泄露最小化
在默认PHP时在HTTP抬头处会生成一条线介于每个响应中,(比如X-Powered-By: PHP/5.2.10)。而这个在系统信息中为攻击者创建了一个非常有价值的信息。
HTTP示例:
<ol> <li><span><span>HTTP/1.1 200 OK </span></span></li> <li><span>X-Powered-By: PHP/5.2.10 </span></li> <li> <span>Content-type: text/html; </span><span>charset</span><span>=</span><span>UTF</span><span>-8 </span> </li> <li><span>Vary: Accept-Encoding, Cookie </span></li> <li> <span>X-Vary-Options: Accept-Encoding;</span><span>list-contains</span><span>=</span><span>gzip</span><span>,Cookie;</span><span>string-contains</span><span>=</span><span>wikiToken</span><span>; </span> </li> <li> <span>string-contains</span><span>=</span><span>wikiLoggedOut</span><span>;</span><span>string-contains</span><span>=</span><span>wiki_session</span><span> </span> </li> <li><span>Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT </span></li> <li><span>... </span></li> </ol>
因此,我们强烈建议,禁止PHP信息泄露,想要要禁止它,我们要编辑/etc/php.d/secutity.ini,并设置以下指令:
<ol> <li><span><span>expose_php</span><span>=</span><span>Off</span><span> </span></span></li> <li><span> </span></li> </ol>
3. 使PHP加载模块最小化
在默认情况下,RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块,只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性,当你的应用程序需要时,我们强烈建议建议启用扩展功能。举个例子:当禁用GD扩展时,键入以下命令:
<ol>
<li><span><span># cd /etc/php.d/ </span></span></li>
<li><span> </span></li>
<li><span># mv gd.{ini,disable} </span></li>
<li><span> </span></li>
<li><span># /etc/init.d/apache2 restart </span></li>
</ol>
为了扩展PGP GD模块,然后键入以下命令:
<ol>
<li><span><span># mv gd.{disable,ini} </span></span></li>
<li><span> </span></li>
<li><span># /sbin/service httpd restart </span></li>
</ol>
4. 记录PHP错误信息
为了提高系统和Web应用程序的安全,PHP错误信息不能被暴露出。要做到这一点,需要编辑/etc/php.d/security.ini 文件,并设置以下指令:
<ol><li><span><span>display_errors</span><span>=</span><span>Off</span><span> </span></span></li></ol>
为了便于开发者Bug修复,所有PHP的错误信息都应该记录在日志中。
<ol> <li><span><span>log_errors</span><span>=</span><span>On</span><span> </span></span></li> <li><span> </span></li> <li> <span>error_log</span><span>=/var/log/httpd/php_scripts_error.log </span> </li> <li><span> </span></li> </ol>
5. 禁用远程执行代码
如果远程执行代码,允许PHP代码从远程检索数据功能,如FTP或Web通过PHP来执行构建功能。比如:file_get_contents()。
很多程序员使用这些功能,从远程通过FTP或是HTTP协议而获得数据。然而,此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能,打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题,需要禁用_url_fopen in /etc/php.d/security.ini,并设置以下命令:
<ol><li><span><span>allow_url_fopen</span><span>=</span><span>Off</span><span> </span></span></li></ol>
除了这个,我还建议禁用_url_include以提高系统的安全性。
<ol><li><span><span>allow_url_include</span><span>=</span><span>Off</span><span> </span></span></li></ol>
6. 禁用PHP中的危险函数
PHP中有很多危险的内置功能,如果使用不当,它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。
<ol><li><span><span>disable_functions</span><span> =</span><span>exec</span><span>,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source </span></span></li></ol>
7. 资源控制
为了提高系统的稳定性,强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存,从而避免系统不安全或降低安全系数。
<ol> <li><span><span># set in seconds </span></span></li> <li><span> </span></li> <li> <span>max_execution_time</span><span> = </span><span>30</span><span> </span> </li> <li><span> </span></li> <li> <span>max_input_time</span><span> = </span><span>30</span><span> </span> </li> <li><span> </span></li> <li> <span>memory_limit</span><span> = </span><span>40M</span><span> </span> </li> <li><span> </span></li> </ol>
8. 限制PHP访问文件系统
该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件,PHP将拒绝打开。值得注意的是,你不能使用一个符号链接作为一种变通方法。
<ol> <li><span><span>; Limits the PHP process from accessing files outside </span></span></li> <li><span>; of specifically designated directories such as /var/www/html/ </span></li> <li> <span>open_basedir</span><span>=</span><span>"/var/www/html/"</span><span> </span> </li> <li><span>; ------------------------------------ </span></li> <li><span>; Multiple dirs example </span></li> <li> <span>; </span><span>open_basedir</span><span>=</span><span>"/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/"</span><span> </span> </li> <li><span>; ------------------------------------ </span></li> </ol>
9.限制文件/目录访问
进行适当的安全设置:确保Apache作为非root用户运行,比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者,执行以下命令:
<ol><li><span><span># chown -R apache:apache /var/www/ </span></span></li></ol>
10.编译保护Apache,PHP和MySQL的配置文件
使用charrt命令编译保护配置文件
<ol> <li><span><span># chattr +i /etc/php.ini </span></span></li> <li><span> </span></li> <li><span># chattr +i /etc/php.d/* </span></li> <li><span> </span></li> <li><span># chattr +i /etc/my.ini </span></li> <li><span> </span></li> <li><span># chattr +i /etc/httpd/conf/httpd.conf </span></li> <li><span> </span></li> <li><span># chattr +i /etc/ </span></li> </ol>
使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录:
<ol> <li><span><span># chattr +i /var/www/html/file1.php </span></span></li> <li><span> </span></li> <li><span># chattr +i /var/www/html/ </span></li> </ol>
英文出自:ansoncheung.tk
los是什么系统Nov 07, 2022 pm 04:31 PMlos就是LineageOS,是一个基于Android面向智能手机以及平板电脑的开放源代码操作系统。los的前身为Cyanogenmod,通常称CM,是全球最大的安卓第三方编译团队,促进了用户的安卓版本的第三方升级,在早期曾经先于谷歌为很多手机定制了稳定版的安卓1.6,此后该团队的联合创始人及核心团队,重组了全新的LineageOS,继续为用户提供免费的第三方系统支持。
操作系统实现按名存取的关键在于解决什么Aug 17, 2022 am 11:17 AM操作系统实现按名存取的关键在于解决文件名称与具体的物理地址的转换;实现逻辑文件到物理文件间的转换,即按名存取外存上的文件,按名存取实现文件的共享和保密,不同用户能在系统的控制下共享其他用户的文件。
SAP系统的五大模块是什么Sep 29, 2022 am 11:52 AMSAP五大模块是:1、物料管理模块,主要有采购、库房与库存管理、供应商评价等管理功能;2、工厂维护模块,提供对定期维护、检查与服务管理的规划、控制和处理;3、质量管理模块,可提供质量计划、质量检测、质量控制、质量文档等功能;4、销售与分销模块,包括销售计划、询价报价、订单管理、运输发货、发票等的管理;5、生产计划模块,可实现对工厂数据、生产计划、能力计划、成本核算等的管理。
荣耀手机是什么系统Jul 27, 2022 am 10:23 AM荣耀手机使用的是“Magic UI”、“EMUI”和“HarmonyOS”操作系统;荣耀的新机型采用的都是“Magic UI”系统,旧机型普遍使用的是基于安卓的EMUI系统,而部分机型支持升级为华为研发的HarmonyOS操作系统。
如何查看电脑系统是什么版本Jan 02, 2021 pm 03:54 PM方法:1、在电脑桌面上,右击“计算机”,选择“属性”;2、在“系统”界面的“windows 版本”区域即可查看当前系统版本。2、使用“Win+R”快捷键,打开“运行”窗口,输入“winver”回车,在弹出的对话框中即可查看当前系统版本信息。
funtouch os是什么系统Aug 22, 2022 am 11:43 AM“funtouch os”是vivo基于安卓系统开发的智能手机操作系统;“funtouch os”是针对vivo公司中高端手机推出的一款人性化手机操作系统,该系统与2013年10月发布,以用户体验为核心,以简约、乐趣、智慧、理念为设计导向。
三星手机是什么系统Nov 16, 2022 pm 05:22 PM三星手机是安卓系统,只不过不是原生的安卓系统,而是原生安卓系统经过定制之后的系统,例如OneUI。OneUI是在2018年三星开发者大会上推出的全新基于安卓系统深度定制的用户界面,是三星和google合作进行研发的;可以同时运行在折叠屏产品上和非折叠屏产品上,通过交互的改进让两种不同形态的产品都有相近的操作体验。
ghost的本质是什么Aug 29, 2022 pm 03:27 PMGhost的本质是对磁盘或者硬盘进行快速备份与还原;利用Ghost安装Windows系统最大的优点就是速度快而且一键安装,并且Ghost系统大多集成了大多数电脑所需要的驱动程序以及一些常用的应用软件。需要注意:1、通过网络下载到的Ghost系统,其预置的驱动程序与自己的电脑可能不兼容,会导致安装之后出现蓝屏而无法正常使用;2、Ghost系统捆绑安装的应用软件太多。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
メモ帳++7.3.1
使いやすく無料のコードエディター
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境
EditPlus 中国語クラック版
サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません
