PHP網站在Linux服務器上安全設置方案
本文總結了PHP網站在Linux服務器上一些安全設置(ps:還有一些設置給忘了),在《lnmp一鍵安裝包》大多數參數已經包含,若是有什麼更多的設置,你們一塊兒討論學習php
PHP安全配置
1. 確保運行php的用戶爲通常用戶,如www
2. php.ini參數設置 html
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函數 expose_php = off #避免暴露PHP信息 display_errors = off enable_dl = off allow_url_include = off session.cookie_httponly =1 upload_tmp_dir =/tmp open_basedir =./:/tmp:/home/wwwroot/
open_basedir參數詳解mysql
; open_basedir,ifset, limits all file operations to the defined directory ; and below.This directive makes most sense if used in a per-directory ; or per-virtualhost web server configuration file.This directive is ;*NOT* affected by whether SafeMode is turned On or Off.; http://php.net/open-basedir
open_basedir可將用戶訪問文件的活動範圍限制在指定的區域,一般是其家目錄的路徑,也可用符號」.」來表明當前目錄。注意用open_basedir指定的限制其實是前綴,而不是目錄名。
舉例來講: 若」open_basedir = /home/wwwroot」, 那麼目錄 「/home/wwwroot」 和 「/home/wwwroot1″都是能夠訪問的。因此若是要將訪問限制在僅爲指定的目錄,請用斜線結束路徑名。linux
注意:
從網上獲取的資料來看,open_basedir會對php操做io的性能產生很大的影響。研究資料代表,配置了php_basedir的腳本io執行速度會比沒有配置的慢10倍甚至更多,請你們本身衡量
open_basedir也能夠同時設置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用冒號分隔目錄。當其做用於Apache模塊時,父目錄中的open_basedir路徑自動被繼承。 nginx
MySQL安全設置
1. MySQL版本的選擇
在正式生產環境中,禁止使用4.1系列的MySQL數據庫。至少須要使用5.1.39或以上版本。web
2. 網絡和端口的配置
在數據庫只需供本機使用的狀況下,使用–skip-networking參數禁止監聽網絡 。sql
3. 確保運行MySQL的用戶爲通常用戶,如mysql,注意存放數據目錄權限爲mysql shell
vi /etc/my.cnf user = mysql
4. 開啓mysql二進制日誌,在誤刪除數據的狀況下,能夠經過二進制日誌恢復到某個時間點數據庫
vi /etc/my.cnf log_bin = mysql-bin expire_logs_days =7
5. 認證和受權
(1)禁止root帳號從網絡訪問數據庫,root帳號只容許來自本地主機的登錄。apache
mysql>grant all privileges on *.* to root @localhost identified by 'password' with grant option; mysql>flush priveleges;
(2)刪除匿名帳號和空口令帳號
mysql>USE mysql; mysql>delete from user where User=; mysql>delete from user where Password=; mysql>delete from db where User=;
web服務器安全
確保運行Nginx或者Apache的用戶爲通常用戶,如www,注意存放數據目錄權限爲www
防止sql注入
if( $query_string ~*".*[\;'\<\>].*"){return404;}
關閉存放數據上傳等目錄的PHP解析
location ~*^/(attachments|data)/.*\.(php|php5)${ deny all;}
針對Apache:關閉圖片目錄/上傳等目錄的PHP解析
<Files~".php"> order allow,deny Deny from all </Files>
木馬查殺和防範
php木馬快速查找命令
grep -r --include=*.php '[^a-z]eval($_POST'/home/wwwroot/ grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);'/home/wwwroot/
利用find mtime查找最近兩天或者發現木馬的這幾天,有哪些PHP文件被修改
find -mtime -2-type f -name \*.php
防範:
1. 作好以前的安全措施,好比禁用相關PHP函數等
2. 改變目錄和文件屬性
find -type f -name \*.php -exec chomd 644{} \; find -type d -exec chmod 755{} \; chown -R www.www /home/wwwroot/www.linuxeye.com
3. 爲防止跨站感染,須要作虛擬主機目錄隔離
(1)nginx的簡單實現方法
利用nginx跑多個虛擬主機,習慣的php.ini的open_basedir配置:
open_basedir =./:tmp:/home/wwwroot/
注:/home/wwwroot/是放置全部虛擬主機的web路徑
黑客能夠利用任何一個站點的webshell進入到/home/wwwroot/目錄下的任何地方,這樣對各個虛擬主機的危害就很大
例如: /data/www/wwwroot目錄下有2個虛擬主機
修改php.ini
open_basedir =./:/tmp:/home/wwwroot/www.linuxeye.com:/home/wwwroot/blog.linuxeye.com
這樣用戶上傳webshell就沒法跨目錄訪問了。
(2):Apache的實現方法,控制跨目錄訪問
在虛擬機主機配置文件中加入
<VirtuanHost*:80> php_admin_value open_basedir "/tmp:/home/wwwroot/www.linuxeye.com"
- 1. 服務器網站安全維護之nginx安全設置篇
- 2. web服務器的php安全設置
- 3. 網站服務器安全設置之Linux系統安全部署
- 4. Linux 服務器安全配置(上篇)
- 5. CentOS Linux服務器安全設置
- 6. 服務器安全設置
- 7. Linux下網站安全加固方案
- 8. 阿里雲Linux服務器安裝配置ftp及上傳網站全教程
- 9. 在服務器上搭建wordpress網站
- 10. Linux系統服務器上安裝PHP
- 更多相關文章...
- • 服務器上的 XML - XML 教程
- • XSLT - 在服務器端 - XSLT 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • PHP Ajax 跨域問題最佳解決方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。