LAMP（apache禁止解析php，限制user_agent，php配置，open_bashdir

一、apache禁止解析php.

实例：假如我们的一个目录是允许上传图片的，可能有些别有用心的人通过某些手段上传php文件上来。也就意味着被执行的文件，可能是恶意文件

修改：

[root@abc admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

  <Directory /data/wwwroot/111.com/upload>

        php_admin_flag engine off               (打开禁止PHP解析)

        <FilesMatch （.*）\.php(.*)>  (只要是匹配到php结尾的文件，全部deny掉，虽然已经开启了php解析，但是如果不加这                                 一行curl的时候会拿到源代码，这样不友好)

        Order allow,deny

        Deny from all

        </FilesMatch>

    </Directory>

测试：

如果不加匹配文件哪一行，虽然不解析，但是会下载拿到源代码：

[root@abc upload]# curl -x192.168.52.100:80 '111.com/upload/index.php' 

<?php 

phpinfo();

?>

不加-I的话会直接拿到源代码。加上-I会显示200，如果在浏览器上则会直接下载文件。

加上Order:

[root@abc 111.com]# curl -x192.168.52.100:80 '111.com/upload/index.php' -I

HTTP/1.1 403 Forbidden

Date: Sun, 26 Nov 2017 10:16:37 GMT

Server: Apache/2.4.28 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1

直接403拒绝访问

二、apache限制user_agent

访问控制user_agent（浏览器标识）

实例：

有时候我们网站会受到cc攻击（同时让1w个肉机攻击一个网站），就是正常的访问，但是她的访问特别有规律，且user_agent都是一样的。通过限制user_agent来限制。

修改：

也是用rewrite模块，上次用他实现的域名跳转

   <IfModule mod_rewrite.c>

        RewriteEngine on

        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]     OR作为两个条件的连接词，或者的意思。

        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]         NC表示忽律大小写 

        RewriteRule  .*  -  [F]

    </IfModule>

检查语法错误并且重启服务

验证：

[root@abc ~]# curl -x127.0.0.1:80 'http://111.com/index.php'

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>

<title>403 Forbidden</title>

</head><body>

<h1>Forbidden</h1>

<p>You don't have permission to access /index.php

on this server.<br />

</p>

</body></html>

当用Curl直接访问的时候，显示403，没有权利访问，因为限制了curl

[root@abc ~]# curl -A "lty"-x127.0.0.1:80 'http://111.com/index.php' -I

HTTP/1.1 200 OK

Date: Sun, 26 Nov 2017 11:41:37 GMT

Server: Apache/2.4.28 (Unix) PHP/5.6.30

X-Powered-By: PHP/5.6.30

Content-Type: text/html; charset=UTF-8

当修改浏览器表示为lty时，则访问正常。

查看日志：

127.0.0.1 - - [26/Nov/2017:19:41:13 +0800] "GET http://111.com/index.php HTTP/1.1" 403 218 "-" "curl/7.29.0"

192.168.52.100 - - [26/Nov/2017:19:41:32 +0800] "GET /index.php HTTP/1.1" 200 80050 "-" "lty-x127.0.0.1:80"

curl -A " "   可以修改user_agent 也就是浏览器标识

curl -e " "   可以修改referer 也就是上次一访问的网址

三、php相关配置

查看php配置文件位置

还是写一个phpinfo();的文件。然后用浏览器访问，查看php详细信息

我们发现php的目录在，但是它并没有加载。

我们需要从源码包的配置文件里复制一个

[root@abc php-5.6.30]# cp /usr/local/src/php-5.6.30/php.ini-development /usr/local/php/etc/php.ini

[root@abc php-5.6.30]# /usr/local/apache2.4/bin/apachectl graceful        （刷新配置）

这样就显示出来了

修改配置文件

vim  /usr/local/php/etc/php.ini

搜索  disable_functions  安全函数           （一句话木马里就用到了eval函数）

危险函数 ：

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close         还可以写phpinfo 

搜索 date.timezone   定义时区        （如果不定义有时候会有一些告警信息）

可以定义到上海，或者重庆

date.timezone = Asia/Chongqing

日志相关的

display_errors =  Off         会把你的错误信息显示到浏览器上，改成OFF会显示白页

log_error =                             打开或关闭错误日志

error_log =  /tmp/php_errors.log              定义错误日志路径

error_reporting                          定义错误日志的级别（最好定义松一点，否则日志只会记录笔记严重错误）

四、open_bashdir

一个服务器上跑2个网站，假如一个网站被黑了，另外一个肯定不会幸免于难，如果有open_basedir   ，另外一个网站就不一定会被黑

open_basedir的作用是将网站限定在指定目录里，就算该站点被黑，黑客也只能在该目录下有所作为，不能左右其他目录。

A网站和B网站分别在AB两个目录里，A网站被黑了，黑客没有权限进入B目录，如果只有一个网站，那就很有必要做安全选项，因为其他目录没有权限进入。

• vim /usr/local/php/etc/php.ini             

open_basedir  = /data/wwwroot/111.com:/tmp/                    （两个目录之间用:连接）

但是php.info里包含的是所有的站点，我们也可以在虚拟主机配置文件里限制：

• php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"     要写上tmp，因为tmp是个临时文件存放点，如果连自己的临时文件都写不了，比如上传一个图片，会临时把图片放到tmp下。如果限制了，就不能上传图片了

五、拓展内容：

apache开启压缩功能:http://ask.apelearn.com/question/5528

apache配置https 支持Ssl:http://ask.apelearn.com/question/1029