来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用...
|
PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议, 为PHP安全提示而提供的示例环境 •文件根目录(DocumentRoot):/var/www/html 为本文所列的大多数操作编写代码时,假定它们将由运行bash外壳程序或其他任何现代外壳程序的根用户来执行: N-LEFT: 10px; MARGIN-RIGHT: 10px"> $ php -v示例输出: PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41) Copyright (c) 1997-2010 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies 出于演示的用途,我会使用以下操作系统: N-LEFT: 10px; MARGIN-RIGHT: 10px"> $ cat /etc/redhat-release示例输出: Red Hat Enterprise Linux Server release 6.1 (Santiago) 第1个最佳实践:了解你的对手 基于PHP的应用程序面临不同类型的攻击。我注意到了几种不同类型的攻击: 1. XSS:跨站脚本是Web PHP应用程序中的一种安全漏洞,攻击者可以利用该漏洞来窃取用户的信息。 2. SQL注入攻击:这是PHP应用程序的数据库层中的安全漏洞。用户输入不正确地过滤时,应用程序就 3. 文件上传:它让访客可以将文件放在(将文件上传到)你的服务器上。这会带来众多安全问题,比如 4. 添加本地和远程文件:攻击者可以从远程服务器打开文件,执行任何PHP代码。这让他们得以上传 5. eval() :将字符串作为PHP代码来进行评估。攻击者常常利用该函数来隐藏其在服务器本身上面的 6. sea-surf攻击(跨站请求伪造,CSRF):这种攻击迫使最终用户针对目前已验证其身份的Web应 第2个最佳实践:查找内置的PHP模块 想查看一组编译进去的PHP模块,请输入以下命令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # php -m示例输出: [PHP模块] N-LEFT: 10px; MARGIN-RIGHT: 10px"> apcbcmathbz2calendarCorectypecurldatedomeregexiffileinfofilterftpgdgettextgmphashiconvimapjsonlibxmlmbstringmemcachemysqlmysqliopensslpcntlpcrePDOpdo_mysqlpdo_sqlitePharreadlineReflectionsessionshmopSimpleXMLsocketsSPLsqlite3standardsuhosintokenizerwddxxmlxmlreaderxmlrpcxmlwriterxslzipzlib[Zend模块] N-LEFT: 10px; MARGIN-RIGHT: 10px"> Suhosin我建议你使用模块数量减少的PHP,以增强性能和安全。比如说,你可以通过删除(移除)配 或者 N-LEFT: 10px; MARGIN-RIGHT: 10px"> # mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disable其他编译进去的模块只能通过重新安装精简配置的PHP来移除。可以从php.net下载php源代码 ./configure --with-libdir=lib64 --with-gd --with-mysql --prefix=/usr --exec-prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/usr/com --mandir=/usr/share/man --infodir=/usr/share/info --cache-file=../config.cache --with-config-file-path=/etc --with-config-file-scan-dir=/etc/php.d --enable-fastcgi --enable-force-cgi-redirect 参阅如何编译php,并重新安装到类似Unix的操作系统上(http://www.php.net/manual/en/install.unix.php) 第3个最佳实践:限制PHP信息泄露 要限制PHP信息泄露,就要禁用expose_php。编辑/etc/php.d/secutity.ini,执行以下指令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> expose_php=Off启用后,expose_php向外界报告PHP安装在服务器上,这包括HTTP头里面的PHP版本 示例输出: HTTP/1.1 200 OK X-Powered-By: PHP/5.3.3 Content-type: text/html; charset=UTF-8 Vary: Accept-Encoding, Cookie X-Vary-Options: Accept-Encoding;list-contains=gzip,Cookie;string-contains=wikiToken;string-contains=wikiLoggedOut;string-contains=wiki_session Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT ... 我还建议,你应在httpd.conf中执行ServerTokens和ServerSignature命令,隐藏Apache 第4个最佳实践:尽量减少可装入的PHP模块(动态加载模块) PHP支持“动态加载模块”(Dynamic Extensions)。默认情况下,RHEL装入/etc/php.d/ 要启用名为gd的php模块,请输入: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # mv gd.{disable,ini}# /sbin/service httpd restart第5个最佳实践:将所有PHP错误记入日志 别让PHP错误信息暴露在网站的所有访客面前。编辑/etc/php.d/security.ini,执行以下指令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> display_errors=Off确保你将所有PHP错误记入到日志文件中(http://www.cyberciti.biz/tips/php-howto-turn-on-error-log-file.html): N-LEFT: 10px; MARGIN-RIGHT: 10px"> log_errors=Onerror_log=/var/log/httpd/php_scripts_error.log第6个最佳实践:不允许上传文件 出于安全原因,编辑/etc/php.d/security.ini,执行以下命令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> file_uploads=Off如果使用你应用程序的用户需要上传文件,只要设置upload_max_filesize(http://www.cyberciti.biz/faq/linux-unix-apache-increase-php-upload-limit/),即可启用该功能,该设置限制了PHP允许通过上传的文件的最大值: N-LEFT: 10px; MARGIN-RIGHT: 10px"> file_uploads=On# 用户通过PHP上传的文件最大1MB N-LEFT: 10px; MARGIN-RIGHT: 10px"> upload_max_filesize=1M第7个最佳实践:关闭远程代码执行 如果启用,allow_url_fopen允许PHP的文件函数——如file_get_contents()、include语句和require语句——可以从远程地方(如FTP或网站)获取数据。 allow_url_fopen选项允许PHP的文件函数——如file_get_contents()、include语句和require语句——可以使用FTP或HTTP协议,从远程地方获取数据。编程员们常常忘了这一点,将用户提供的数据传送给这些函数时,没有进行适当的输入过滤,因而给代码注入安全漏洞留下了隐患。基于PHP的Web应用程序中存在的众多代码注入安全漏洞是由启用allow_url_fopen和糟糕的输入过滤共同引起的。编辑/etc/php.d/security.ini,执行以下指令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> allow_url_fopen=Off出于安全原因,我还建议禁用allow_url_include: N-LEFT: 10px; MARGIN-RIGHT: 10px"> allow_url_include=Off第8个最佳实践:启用SQL安全模式 编辑/etc/php.d/security.ini,执行以下指令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> sql.safe_mode=On如果启用,mysql_connect()和mysql_pconnect()就忽视传送给它们的任何变量。请注意:你可能得对自己的代码作一些更改。sql.safe_mode启用后,第三方开源应用程序(如WorkdPress)及其他应用程序可能根本运行不了。我还建议你针对所有安装的php 5.3.x关闭magic_quotes_gpc(http://php.net/manual/en/security.magicquotes.php),因为它的过滤并不有效、不是很可靠。mysql_escape_string()和自定义过滤函数能起到更好的作用(向Eric Hansen致谢,https://www.facebook.com/EricHansen.SFU): N-LEFT: 10px; MARGIN-RIGHT: 10px"> magic_quotes_gpc=Off第9个最佳实践:控制POST请求的大小 作为请求的一部分,客户机(浏览器或用户)需要将数据发送到Apache Web服务器时,比如上传文件或提交填好的表单时,就要用到HTTP POST请求方法。攻击者可能会企图发送过大的POST请求,大量消耗你的系统资源。你可以限制PHP将处理的POST请求的最大大小。编辑/etc/php.d/security.ini,执行以下命令: ; 在此设置实际可行的值 N-LEFT: 10px; MARGIN-RIGHT: 10px"> post_max_size=1K1K设置了php应用程序允许的POST请求数据的最大大小。该设置还影响文件上传。要上传大容量文件,这个值必须大于upload_max_filesize。我还建议你限制使用Apache Web服务器的可用方法。编辑httpd.conf,执行针对文件根目录/var/www/html的以下指令: N-LEFT: 10px; MARGIN-RIGHT: 10px"> <Directory /var/www/html> <LimitExcept GET POST> Order allow,deny </LimitExcept>## 可在此添加配置的其余部分... ## N-LEFT: 10px; MARGIN-RIGHT: 10px"> </Directory>第10个最佳实践:资源控制(拒绝服务控制) 你可以设置每个php脚本的最长执行时间,以秒为单位。另一个建议的选项是设置每个脚本可能用于解析请求数据的最长时间,以及脚本可能耗用的最大内存数量。编辑/etc/php.d/security.ini,执行以下命令: # 设置,以秒为单位 N-LEFT: 10px; MARGIN-RIGHT: 10px"> max_execution_time = 30max_input_time = 30memory_limit = 40M第11个最佳实践:为PHP安装Suhosin高级保护系统 来自Suhosin项目网页(http://www.hardened-php.net/suhosin/): Suhosin是一款高级的保护系统,面向安装的PHP。它旨在保护服务器和用户,远离PHP应用程序和PHP核心中的已知缺陷和未知缺陷。Suhosin分两个独立部分,可以单独使用,也可以组合使用。第一个部分是针对PHP核心的小补丁,实施了几个低级防护措施,以防范缓冲器溢出或格式字符串安全漏洞;第二个部分是功能强大的PHP加载模块,实施了其他所有的保护措施。 看看如何在Linux操作系统下安装和配置suhosin(http://www.cyberciti.biz/faq/rhel-linux-install-suhosin-php-protection/)。 第12个最佳实践:禁用危险的PHP函数 PHP有许多函数,如果使用不当,它们可以用来闯入你的服务器。你可以使用disable_functions命令,在/etc/php.d/security.ini中禁用一系列函数: N-LEFT: 10px; MARGIN-RIGHT: 10px"> disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
第13个最佳实践:PHP Fastcgi/CGI - cgi.force_redirect命令 PHP可与FastCGI协同工作。 Fascgi减少了Web服务器占用的内存资源,但是仍为你提供了整个PHP语言具有的速度和功能。你可以配置Apache2+PHP+FastCGI或cgi,如这里描述的那样。配置命令cgi.force_redirect可以防止任何人使用http://www.cyberciti.biz/cgi-bin/php/hackerdir/backdoor.php这样的地址,直接调用PHP。出于安全原因,应启用cgi.force_redirect。编辑/etc/php.d/security.ini,执行以下命令: ; 出于安全原因,在典型的*Apache+PHP-CGI/FastCGI*环境中,启用cgi.force_redirect N-LEFT: 10px; MARGIN-RIGHT: 10px"> cgi.force_redirect=On第14个最佳实践:PHP用户和用户组ID mod_fastcgi是面向Apache Web服务器的cgi模块。它可以连接至外部的FASTCGI服务器。你要确保PHP以非根目录用户的身份来运行。如果PHP以根目录或100以下UID的身份来运行,它可以访问及/或处理系统文件。你必须使用Apache的suEXEC或mod_suPHP,以非特权用户的身份来执行PHP CGI。suEXEC功能让Apache用户们能够以有别于调用Web服务器的用户ID的用户ID来运行CGI程序。在该示例中,我的php-cgi以phpcgi用户的身份来运行,Apache以apache用户的身份来运行: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # ps aux | grep php-cgi示例输出: N-LEFT: 10px; MARGIN-RIGHT: 10px"> phpcgi 6012 0.0 0.4 225036 60140 ? S Nov22 0:12 /usr/bin/php-cgiphpcgi 6054 0.0 0.5 229928 62820 ? S Nov22 0:11 /usr/bin/php-cgiphpcgi 6055 0.1 0.4 224944 53260 ? S Nov22 0:18 /usr/bin/php-cgiphpcgi 6085 0.0 0.4 224680 56948 ? S Nov22 0:11 /usr/bin/php-cgiphpcgi 6103 0.0 0.4 224564 57956 ? S Nov22 0:11 /usr/bin/php-cgiphpcgi 6815 0.4 0.5 228556 61220 ? S 00:52 0:19 /usr/bin/php-cgiphpcgi 6821 0.3 0.5 228008 61252 ? S 00:55 0:12 /usr/bin/php-cgiphpcgi 6823 0.3 0.4 225536 58536 ? S 00:57 0:13 /usr/bin/php-cgi你可以使用spawn-fcgi等工具,以phpcgi用户的身份(先要为系统添加phpcgi用户)来创建远程和本地FastCGI进程: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # spawn-fcgi -a 127.0.0.1 -p 9000 -u phpcgi -g phpcgi -f /usr/bin/php-cgi现在,你可以配置Apache、Lighttpd和Nginx web服务器了,使用在127.0.0.1 IP地址处端口9000上运行的php FastCGI。 第15个最佳实践:限制PHP对文件系统的访问 open_basedir命令设置了允许PHP使用fopen()和其他函数来访问哪些目录的文件。如果文件在open_basdir定义的路径外面,PHP就拒绝打开该文件。你无法使用符号链接作为变通办法。比如说,只允许访问/var/www/html目录、不允许访问/var/www、/tmp或/etc目录: 限制PHP进程访问/var/www/html/等专门指定的目录外面的文件 N-LEFT: 10px; MARGIN-RIGHT: 10px"> ; Limits the PHP process from accessing files outside; of specifically designated directories such as /var/www/html/open_basedir="/var/www/html/"; ------------------------------------; Multiple dirs example; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/"; ------------------------------------第16个最佳实践:会话路径 PHP中的会话支持包括在随后的访问中保留某些数据的一种方法。这让你能够开发更加定制的应用程序,并加大网站的吸引力。该路径在/etc/php.ini文件中定义,与某一个会话有关的所有数据都将存放在session.save_path选项指定的目录下的文件中。在RHEL/CentOS/Fedora Linux下,默认路径如下: N-LEFT: 10px; MARGIN-RIGHT: 10px"> session.save_path="/var/lib/php/session";设置用于上传文件时存储文件的临时目录 N-LEFT: 10px; MARGIN-RIGHT: 10px"> upload_tmp_dir="/var/lib/php/session"确保路径是outside /var/www/html,而且无法被其他任何系统用户读取或写入: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # ls -Z /var/lib/php/示例输出: N-LEFT: 10px; MARGIN-RIGHT: 10px"> drwxrwx---. root apache system_u:object_r:httpd_var_run_t:s0 session注意:ls命令的-Z选项显示了SELinux 安全上下文,比如文件模块、用户、用户组、安全上下文和文件名称。 第17个最佳实践:保持PHP、软件和操作系统版本最新 打安全补丁是维护Linux、Apache、PHP和MySQL服务器的一个重要环节。应该使用以下其中任何一个工具(如果你通过软件包管理器来安装PHP),尽快检查所有的PHP安全更新版本,并尽快打上: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # yum update或 N-LEFT: 10px; MARGIN-RIGHT: 10px"> # apt-get update && apt-get upgrade你可以配置红帽/CentOS/Fedora Linux,以便通过电子邮件发送yum软件包更新通知。另一个选项是通过cron job(计划任务)打上所有的安全更新版。在Debian/Ubuntu Linux下,可以使用apticron来发送安全通知。 注意:经常访问php.net(http://php.net/),寻找源代码安装的最新版本。 第18个最佳实践:限制文件和目录访问 确保你以Apache或www等非根用户的身份来运行Apache。所有文件和目录都应该归非根用户(或apache用户)所有,放在/var/www/html下: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # chown -R apache:apache /var/www/html//var/www/html/是个子目录,这是其他用户可以修改的文件根目录,因为根目录从来不在那里执行任何文件,也不会在那里创建文件。 确保在/var/www/html/下,文件权限设成了0444(只读): N-LEFT: 10px; MARGIN-RIGHT: 10px"> # chmod -R 0444 /var/www/html/确保在/var/www/html/下,所有目录权限设成了0445: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}关于设置合适文件权限的补充 chown和chmod命令确保:不管在什么情况下,文件根目录或文件根目录里面的文件都可以被Web服务器用户apache写入。请注意:你需要设置对你网站的开发模型最合理的权限,所以可以根据自身需要,随意调整chown和chmod命令。在这个示例中,Apache服务器以apache用户的身份来运行。这可以在你的httpd.conf文件中用User和Group命令来配置。apache用户需要对文件根目录下的所有内容享有读取访问权,但是不应该享有写入访问权。 确保httpd.conf有以下命令,实现限制性配置: N-LEFT: 10px; MARGIN-RIGHT: 10px"> <Directory / > Options None AllowOverride None Order allow,deny</Directory>你只要在需要时才应该授予写入访问权。WordPress等一些Web应用程序及其他应用程序可能需要缓存目录。你可以使用以下命令,授予写入到缓冲目录的访问权: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # chmod a+w /var/www/html/blog/wp-content/cache### block access to all #### echo 'deny from all' > /var/www/html/blog/wp-content/cache/.htaccess第19个最佳实践:写保护Apache、PHP和MySQL配置文件 使用chattr命令来写保护配置文件: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # chattr +i /etc/php.ini# chattr +i /etc/php.d/*# chattr +i /etc/my.ini# chattr +i /etc/httpd/conf/httpd.conf# chattr +i /etc/chattr命令还可以写保护/var/www/html目录中的一个php文件或多个文件: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # chattr +i /var/www/html/file1.php# chattr +i /var/www/html/第20个最佳实践:使用Linux安全加载模块(如SELinux) Linux自带各种安全补丁,可以用来防护配置不当或受到危及的服务器程序。可能的话,使用SELinux及其他Linux安全加载模块,对网络及其他程序实行限制。比如说,SELinux为Linux内核和Apache Web服务器提供了众多安全策略。要列出所有的Apache SELinux保护变量,请输入: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # getsebool -a | grep httpd示例输出: N-LEFT: 10px; MARGIN-RIGHT: 10px"> allow_httpd_anon_write --> offallow_httpd_mod_auth_ntlm_winbind --> offallow_httpd_mod_auth_pam --> offallow_httpd_sys_script_anon_write --> offhttpd_builtin_scripting --> onhttpd_can_check_spam --> offhttpd_can_network_connect --> offhttpd_can_network_connect_cobbler --> offhttpd_can_network_connect_db --> offhttpd_can_network_memcache --> offhttpd_can_network_relay --> offhttpd_can_sendmail --> offhttpd_dbus_avahi --> onhttpd_enable_cgi --> onhttpd_enable_ftp_server --> offhttpd_enable_homedirs --> offhttpd_execmem --> offhttpd_read_user_content --> offhttpd_setrlimit --> offhttpd_ssi_exec --> offhttpd_tmp_exec --> offhttpd_tty_comm --> onhttpd_unified --> onhttpd_use_cifs --> offhttpd_use_gpg --> offhttpd_use_nfs --> off要禁用Apache cgi支持,请输入: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # setsebool -P httpd_enable_cgi off参阅红帽SELinux指南(http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html),即可了解更多信息。 第21个最佳实践:安装Mod_security ModSecurity是一个保护Web应用程序的开源入侵检测和预防引擎。你在Linux下很容易安装mod_security,安装后就能保护基于Apache和PHP的应用程序,远离XSS及其他各种攻击: ##几个实例## #阻止SQL注入攻击 N-LEFT: 10px; MARGIN-RIGHT: 10px"> SecFilter "delete[[:space:]]+from"SecFilter "select.+from"第22个最佳实践:尽可能在chroot jail环境中运行Apache / PHP 将PHP及/或Apache放在chroot jail环境中可以尽量减小潜在的入侵事件造成的破坏,因为它将Web服务器隔离到文件系统的一小部分。你可以使用Apache自带的那种传统的chroot jail环境。不过建议使用FreeBSD jail、运用容器概念的XEN虚拟化、KVM虚拟化或OpenVZ虚拟化。
第23个最佳实践:使用防火墙限制出站连接 攻击者会使用wget之类的工具,将文件本地下载到你的Web服务器上。你可以使用iptables阻止apache用户的出站连接。ipt_owner模块会试图比对本地创建的数据包与数据包创建者的各个特点。它只有在OUTPUT链中才有效。在这个示例中,允许vivek用户使用端口80连接外界(这适用于RHN或centos repo访问)。 N-LEFT: 10px; MARGIN-RIGHT: 10px"> /sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT下面是另一个示例,阻止apache用户的所有出站连接(通向我们自己的smtp服务器的出站连接除外),以及垃圾邮件验证API服务: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # ..../sbin/iptables --new-chain apache_user/sbin/iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT/sbin/iptables --append OUTPUT -m owner --uid-owner apache -j apache_user# allow apache user to connec to our smtp server/sbin/iptables --append apache_user -p tcp --syn -d 192.168.1.100 --dport 25 -j RETURN# Allow apache user to connec to api server for spam validation/sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.62 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.61 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.89 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.88 --dport 80 -j RETURN########################### Add more rules here ############################ No editing below# Drop everything for apache outgoing connection/sbin/iptables --append apache_user -j REJECT第24个最佳实践:关注日志和审查 检查apache日志文件: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # tail -f /var/log/httpd/error_log# grep 'login.php' /var/log/httpd/error_log# egrep -i "denied|error|warn" /var/log/httpd/error_log检查php日志文件: N-LEFT: 10px; MARGIN-RIGHT: 10px"> # tail -f /var/log/httpd/php_scripts_error.log# grep "...etc/passwd" /var/log/httpd/php_scripts_error.log日志文件让你对于服务器遭到什么攻击有所了解,并让你可以检查必要的安全级别有没有落实到位。 第25个最佳实践:按照系统或虚拟机实例来运行服务 对于安装的大型系统来说,建议你借助不同的服务器运行数据库、静态内容和动态内容。
(图1:在不同的服务器上运行服务) 在不同的服务器或虚拟机实例上运行不同的网络服务。这限制了可能受到危及的其他服务的数量。 1. static.lan.cyberciti.biz:使用lighttpd或nginx服务器,用于提供js/css/images等静态资产。 2. phpcgi1.lan.cyberciti.biz和phpcgi2.lan.cyberciti.biz:Apache web服务器,php用于生成动态内容。 3. mysql1.lan.cyberciti.biz:MySQL数据库服务器。 4. mcache1.lan.cyberciti.biz:Memcached服务器是用于MySQL的速度非常快的缓存系统。它使用 5. LB01:放在Apache Web服务器前面的nginx Web服务器和反向代理服务器。 从互联网进入到其中 第26个最佳实践:其他工具 来自PHPIDS项目网页(https://phpids.org/): PHPIDS(PHP入侵检测系统)是面向基于PHP的web应用程序的安全层,具有使用简单、结构 你可以使用PHPIDS来检测恶意用户,并记录检测出来的任何攻击,方便以后分析。请注意:我个 来自PhpSecInfo项目网页(http://phpsec.org/projects/phpsecinfo/index.html): PhpSecInfo提供了与phpinfo()函数相对应的机制,可报告关于PHP环境的安全信息,并提供改进
图2:关于PHP应用程序的安全信息 参阅Linux安全加固要点(http://www.cyberciti.biz/tips/linux-security.html),减少系统面临的攻击途径数量。 关于PHP后门的补充 你可能碰到过PHP脚本或所谓的常见后门,比如c99、c99madshell和r57等。后门php脚本其实就 •下载文件 要点:该如何找出PHP后门? 可以使用Unix/Linux grep命令,搜索c99或r57外壳:www.2cto.com N-LEFT: 10px; MARGIN-RIGHT: 10px"> # grep -iR 'c99' /var/www/html/ # grep -iR 'r57' /var/www/html/ # find /var/www/html/ -name \*.php -type f -print0 | xargs -0 grep c99 # grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/html/结束语 你基于PHP的服务器现在经过了适当的加固,可以准备显示动态网页了。不过,安全漏洞主要是 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
