访问控制-禁止php解析、user_agent,PHP相关配置

本文涉及的产品
全局流量管理 GTM,标准版 1个月
访问控制,不限时长
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

限定某个目录禁止解析php

上传图片的目录不需要解析php,静态文件存放目录不允许放php的。

  • 编辑apache虚拟主机配置文件:

    [root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    添加下面内容:
    <Directory /data/wwwroot/111.com/upload>
    php_admin_flag engine off
    </Directory>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 创建相应的目录并放入对应文件

    [root@localhost 111.com]# mkdir upload
    ……
    [root@localhost 111.com]# ls upload/
    123.php abc.jpg baidu.png

  • 测试

    访问123.php文件:
    [root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php
    <?php
    echo "welcom to 123file";
    ?>

    直接显示源代码,即无法进行php解析。

    访问baidu.png文件:
    [root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 04:47:16 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
    ETag: "e7a-555d1c5172a6c"
    Accept-Ranges: bytes
    Content-Length: 3706
    Content-Type: image/png
    #正常访问图片文件。

  • 添加php访问权限

    添加参数“< FilesMatch (.)\ .php(. ) ”

    [root@localhost 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    添加下面的配置:
    <Directory /data/wwwroot/111.com/upload>
    php_admin_flag engine off
    <FilesMatch (.).php(.)>
    Order Allow,Deny
    Deny from all
    </FilesMatch>
    </Directory>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 测试

    访问123.php:
    [root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
    HTTP/1.1 403 Forbidden
    Date: Thu, 03 Aug 2017 04:28:49 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Content-Type: text/html; charset=iso-8859-1
    #返回状态码为403,即无法访问。

    访问baidu.png:
    [root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 04:29:25 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
    ETag: "e7a-555d1c5172a6c

    Accept-Ranges: bytes
    Content-Length: 3706
    Content-Type: image/png

    正常访问其它文件。

访问控制-user_agent

user_agent(用户代理):可以理解为浏览器标识。

需求背景:有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装,CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。

  • 编辑apache虚拟主机的配置文件

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]

    NC 忽略大小写, OR 或者的意思,与吓一跳语句相关

    RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
    RewriteRule  .*  -  [F]
    #F 是Fobidden禁止

    </IfModule>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 检测

    使用curl直接访问:

    [root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
    HTTP/1.1 403 Forbidden
    Date: Thu, 03 Aug 2017 06:59:14 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Content-Type: text/html; charset=iso-8859-1

    返回值为403,禁止访问。

    使用agent aminglinux aminglinux访问:

    [root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 07:01:01 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    X-Powered-By: PHP/5.6.30
    Content-Type: text/html; charset=UTF-8
    [root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php
    welcom to 123file

    正常访问

curl-A 指定useragent。curl -A “abc”。

PHP相关配置

  • 查看php配置文件位置

    查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。(较准)

    使用命令查看:
    /usr/local/php/bin/php -i|grep -i "loaded configuration file"

    通过php网页信息查看:
    在网页文件的目录下创建一个phpinfo文件。文件名为1.php。
    内容为:
    <?php
    phpinfo();
    ?>

    通浏览器过访问该文件,可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。

  • disable_function

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数,可以用过“disable_function”来限制,以达到提高网站安全性的目的

[root@localhost /]# vim /usr/local/php/etc/php.ini 
disable_functions默认是空的。(303行)
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
# 添加phpinfo惨术后就无法访问phpinfo页面。

检查并重载配置文件:
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

display_errors = Off(459行)
#会把错误的信息显示到浏览器上,一般情况设置为off。使用curl访问也没有任何输出。

重载配置文件之后,无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。

  • date.timezone

    设定时区

    [root@localhost /]# vim /usr/local/php/etc/php.ini

    timezone默认为空

    date.timezone =Asia/Chongqing (Shanghai)

  • 日志

    log_error=On/Off 开启或关闭错误日志(487行)

    错误日志路径:
    ;error_log = php_errors.log
    #默认显示(572行)

    修改成指定路径:
    error_log = /tmp/php_errors.log

    需要将前面的;(分号)去掉。

    定义日志的级别:

    error_reporting = EALL
    #默认(449行)
    级别有:E
     ALL(最不严谨的) 、~E NOTICE 、~E STRICT、~EDEPRECATED(可以自由组合)
    生产环境使用:E
     ALL & ~E_ NOTICE就可以。

    日志级别的定义解释:
    E_ALL (Show all errors, warnings and notices including coding standards.)
    ; E_ALL & ~E_NOTICE (Show all errors, except for notices)
    ; E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.)
    ; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)

    检测并重载配置文件:
    [root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

配置好之后,只要有错误日志,就会记录在/tmp/php_errors.log 文件中。

如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。

  • open_basedir

    这是一个安全选项。当只要一个站点被人拿下,服务器上的其他站点就会跟着遭殃,设置open_basedir之后,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径。

    在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点,只能去虚拟主机配置文件里配置。

    [root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
    在每台虚拟主机配置中加入下面内容,修改open_basedir 为DocumentRoot 的地址。
    php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

    说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
    在此开放“/tmp/”目录是为了使临时文件能正常写入。

    重载配置文件后生效

本文转自 豆渣锅 51CTO博客,原文链接:http://blog.51cto.com/754599082/2054946

相关文章
|
2天前
|
弹性计算 网络协议 Ubuntu
如何在阿里云国际版Linux云服务器中自定义配置DNS
如何在阿里云国际版Linux云服务器中自定义配置DNS
ly~
|
15天前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
18 2
|
1月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
这篇文章介绍了HAProxy的ACL(访问控制列表)功能,特别是如何基于源地址进行访问控制的高级配置选项,并通过实战案例展示了如何配置ACL规则以允许或阻止特定IP地址或IP范围的访问。
50 7
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
|
1月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
这篇文章介绍了HAProxy的高级配置选项,特别是如何使用ACL(访问控制列表)进行基于策略的访问控制,通过实战案例展示了如何配置HAProxy以允许或拒绝来自特定源地址的访问。
47 6
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
|
1月前
|
NoSQL 关系型数据库 MySQL
HAProxy的高级配置选项-haproxy的四层负载及访问控制案例
这篇文章介绍了HAProxy的高级配置选项,特别是如何进行四层负载均衡和基于策略的访问控制。通过实战案例,展示了如何配置HAProxy以实现对特定IP地址的访问控制,以及如何通过四层负载均衡将流量分配到后端的MySQL和Redis服务。
102 6
|
2月前
|
持续交付 jenkins Devops
WPF与DevOps的完美邂逅:从Jenkins配置到自动化部署,全流程解析持续集成与持续交付的最佳实践
【8月更文挑战第31天】WPF与DevOps的结合开启了软件生命周期管理的新篇章。通过Jenkins等CI/CD工具,实现从代码提交到自动构建、测试及部署的全流程自动化。本文详细介绍了如何配置Jenkins来管理WPF项目的构建任务,确保每次代码提交都能触发自动化流程,提升开发效率和代码质量。这一方法不仅简化了开发流程,还加强了团队协作,是WPF开发者拥抱DevOps文化的理想指南。
53 1
|
2月前
|
Java 微服务 Spring
Spring Cloud全解析:配置中心之解决configserver单点问题
但是如果该configserver挂掉了,那就无法获取最新的配置了,微服务就出现了configserver的单点问题,那么如何避免configserver单点呢?
|
2月前
|
持续交付 jenkins C#
“WPF与DevOps深度融合:从Jenkins配置到自动化部署全流程解析,助你实现持续集成与持续交付的无缝衔接”
【8月更文挑战第31天】本文详细介绍如何在Windows Presentation Foundation(WPF)项目中应用DevOps实践,实现自动化部署与持续集成。通过具体代码示例和步骤指导,介绍选择Jenkins作为CI/CD工具,结合Git进行源码管理,配置构建任务、触发器、环境、构建步骤、测试及部署等环节,显著提升开发效率和代码质量。
50 0
|
2月前
|
机器学习/深度学习 计算机视觉 Python
深度学习项目中在yaml文件中定义配置,以及使用的python的PyYAML库包读取解析yaml配置文件
深度学习项目中在yaml文件中定义配置,以及使用的python的PyYAML库包读取解析yaml配置文件
54 0
|
2月前
|
安全 数据安全/隐私保护

推荐镜像

更多