限定某个目录禁止解析php
上传图片的目录不需要解析php,静态文件存放目录不允许放php的。
-
编辑apache虚拟主机配置文件:
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面内容:
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
</Directory>测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful -
创建相应的目录并放入对应文件
[root@localhost 111.com]# mkdir upload
……
[root@localhost 111.com]# ls upload/
123.php abc.jpg baidu.png -
测试
访问123.php文件:
[root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php'
<?php
echo "welcom to 123file";
?>直接显示源代码,即无法进行php解析。
访问baidu.png文件:
[root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:47:16 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
#正常访问图片文件。 -
添加php访问权限
添加参数“< FilesMatch (.)\ .php(. ) ”
[root@localhost 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面的配置:
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.).php(.)>
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful -
测试
访问123.php:
[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 04:28:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
#返回状态码为403,即无法访问。访问baidu.png:
[root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:29:25 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6cAccept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png正常访问其它文件。
访问控制-user_agent
user_agent(用户代理):可以理解为浏览器标识。
需求背景:有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装,CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。
-
编辑apache虚拟主机的配置文件
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]NC 忽略大小写, OR 或者的意思,与吓一跳语句相关
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC] RewriteRule .* - [F] #F 是Fobidden禁止</IfModule>
测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful -
检测
使用curl直接访问:
[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 06:59:14 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1返回值为403,禁止访问。
使用agent aminglinux aminglinux访问:
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 07:01:01 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php'
welcom to 123file正常访问
curl-A 指定useragent。curl -A “abc”。
PHP相关配置
-
查看php配置文件位置
查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。(较准)
使用命令查看:
/usr/local/php/bin/php -i|grep -i "loaded configuration file"通过php网页信息查看:
在网页文件的目录下创建一个phpinfo文件。文件名为1.php。
内容为:
<?php
phpinfo();
?>通浏览器过访问该文件,可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。
- disable_function
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数,可以用过“disable_function”来限制,以达到提高网站安全性的目的
[root@localhost /]# vim /usr/local/php/etc/php.ini
disable_functions默认是空的。(303行)
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
# 添加phpinfo惨术后就无法访问phpinfo页面。
检查并重载配置文件:
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful
display_errors = Off(459行)
#会把错误的信息显示到浏览器上,一般情况设置为off。使用curl访问也没有任何输出。重载配置文件之后,无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。
-
date.timezone
设定时区
[root@localhost /]# vim /usr/local/php/etc/php.ini
timezone默认为空
date.timezone =Asia/Chongqing (Shanghai)
-
日志
log_error=On/Off 开启或关闭错误日志(487行)
错误日志路径:
;error_log = php_errors.log
#默认显示(572行)修改成指定路径:
error_log = /tmp/php_errors.log需要将前面的;(分号)去掉。
定义日志的级别:
error_reporting = EALL
#默认(449行)
级别有:E ALL(最不严谨的) 、~E NOTICE 、~E STRICT、~EDEPRECATED(可以自由组合)
生产环境使用:E ALL & ~E_ NOTICE就可以。日志级别的定义解释:
E_ALL (Show all errors, warnings and notices including coding standards.)
; E_ALL & ~E_NOTICE (Show all errors, except for notices)
; E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.)
; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)检测并重载配置文件:
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful
配置好之后,只要有错误日志,就会记录在/tmp/php_errors.log 文件中。
如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。
-
open_basedir
这是一个安全选项。当只要一个站点被人拿下,服务器上的其他站点就会跟着遭殃,设置open_basedir之后,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径。
在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点,只能去虚拟主机配置文件里配置。
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
在每台虚拟主机配置中加入下面内容,修改open_basedir 为DocumentRoot 的地址。
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
在此开放“/tmp/”目录是为了使临时文件能正常写入。重载配置文件后生效
