LNMP PHP环境下的安全加固设置经验

简介:

以往的lamp网站向着lnmp发展, 笔者工作环境使用lnmp多年, 在这里很高兴和大家分享一下多年的lnmp网站的php安全配置,至于lamp安全后续与大家分享,其实内容上八成相同,这边着重讲php安全配置,看内容.

1. 使用open_basedir限制虚拟主机跨目录访问
[HOST=www.server110.com]
open_basedir=/data/site/www.server110.com/:/tmp/

[HOST=test.server110.com]
open_basedir=/data/site/test.server110.com/:/tmp/

如上配置的意思是www.server110.com下的php程序被限制在open_basedir配置的两个目录下, 不可以访问到其他目录。如果没有做以上的配置,那么test.server110.com与www.server110.com的程序可以互相访问.
如果其中一个站点有漏洞被黑客植入了webshell,那么他可以通过这个站点拿下同一台服务器的其他站点,最后挂木马.

[warning]注意:目录最后一定要加上/. 比如你写/tmp,你的站点同时存在/tmp123等等以/tmp开头的目录,那么黑客也可以访问到这些目录,另外, php5.3以上支持这个写法,5.2不支持。[/warning]

2. 禁用不安全PHP函数
disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo

禁止php执行以上php函数,以上php程序可以执行linux命令, 比如可以执行ping、netstat、mysql等等.如果你的系统有提权bug,后果你懂得.

3. 关注软件安全资讯

积极关注linux内核、php安全等信息并及时采取错误

4. php用户只读

这个方法是我最推崇的方法,但是执行之前一定要和php工程师商量. 为什么?例如站点www.server110.com根目录用户与组为nobody,而运行php的用户和组为phpuser。目录权限为755,文件权限为644. 如此,php为只读,无法写入任何文件到站点目录下。也就是说用户不能上传文件,即使有漏洞, 黑客也传不了后门, 更不可能挂木马.  这么干之前告知程序员将文件缓存改为nosql内存缓存(例如memcached、redis等),上传的文件通过接口传到其他服务器(静态服务器)。

[warning]备注:程序生成本地缓存是个非常糟糕的习惯,使用文件缓存速度缓慢、浪费磁盘空间、最重要一点是一般情况下服务器无法横向扩展.[/warning]

5. 关闭php错误日志
display_errors = On
改为
display_errors = Off

程序一旦出现错误,详细错误信息便立刻展示到用户眼前,其中包含路径、有的甚至是数据库账号密码. 注入渗透密码基本上都是通过这个报错来猜取。生产环境上强烈关闭它

6. php上传分离

将文件上传到远程服务器,例如nfs等。当然也可以调用你们写好的php接口. 即使有上传漏洞,那么文件也被传到了静态服务器上。木马等文件根本无法执行.

举个例子:
php站点www.server110.com,目录/data/site/www.server110.com
静态文件站点static.server110.com,目录/data/site/static.server110.com

文件直接被传到了/data/site/static.server110.com,上传的文件无法通过www.server110.com来访问,只能使用static.server110.com访问,但是static.server110.com不支持php.

7. 关闭php信息
expose_php = On
改为
expose_php = Off

不轻易透露自己php版本信息,防止黑客针对这个版本的php发动攻击.

8. 禁止动态加载链接库
disable_dl = On;
改为
enable_dl = Off;

9. 禁用打开远程url
allow_url_fopen = On
改为
allow_url_fopen = Off

其实这点算不上真正的安全, 并不会导致web被入侵等问题,但是这个非常影响性能, 笔者认为它属于狭义的安全问题.

以下方法将无法获取远程url内容


$data = file_get_contents("http://www.baidu.com/");

以下方法可以获取本地文件内容


$data = file_get_contents("1.txt");

如果你的站点访问量不大、数据库也运行良好,但是web服务器负载出奇的高,请你直接检查下是否有这个方法。笔者遇到过太多这个问题,目前生产环境已全线禁用,如果php工程师需要获取远程web的内容,建议他们使用curl.

php curl如何使用请查看我之前的文章《PHP使用curl替代file_get_contents》,以及php下curl与file_get_contents性能对比.

10.结束

今天lnmp站点的php安全暂时讲到这里,有问题后续将继续补充.


本文转自 linuxzkq 51CTO博客,原文链接:http://blog.51cto.com/linuxzkq/1583418


相关文章
|
3月前
|
关系型数据库 MySQL 应用服务中间件
win7系统搭建PHP+Mysql+Apache环境+部署ecshop项目
这篇文章介绍了如何在Windows 7系统上搭建PHP、MySQL和Apache环境,并部署ECShop项目,包括安装配置步骤、解决常见问题以及使用XAMPP集成环境的替代方案。
54 1
win7系统搭建PHP+Mysql+Apache环境+部署ecshop项目
|
2月前
|
SQL 安全 JavaScript
在多用户环境中,如何确保 PHP Shell 的安全性?
在多用户环境中,如何确保 PHP Shell 的安全性?
|
3月前
|
Web App开发 关系型数据库 PHP
使用 Docker 快速搭建多版本 PHP 开发环境
使用 Docker 快速搭建多版本 PHP 开发环境
74 2
|
3月前
|
应用服务中间件 Linux 网络安全
【Azure 应用服务】PHP应用部署在App Service for Linux环境中,上传文件大于1MB时,遇见了413 Request Entity Too Large 错误的解决方法
【Azure 应用服务】PHP应用部署在App Service for Linux环境中,上传文件大于1MB时,遇见了413 Request Entity Too Large 错误的解决方法
|
3月前
|
Linux PHP
【Azure 应用服务】PHP项目部署到App Service for Linux环境中,如何修改上传文件大小的限制呢?
【Azure 应用服务】PHP项目部署到App Service for Linux环境中,如何修改上传文件大小的限制呢?
|
3月前
|
应用服务中间件 Linux PHP
Linux搭建tengine2.0<Nginx>+php7环境
本文介绍了在Linux系统上搭建Tengine 2.0(一个Nginx的增强版本)和PHP 7环境的详细步骤,包括创建安装目录、下载源码包及依赖库、编译安装Nginx、配置Nginx、安装PHP及其依赖、设置PHP-FPM、配置环境变量、安装Git和Composer,以及服务管理和日志查看等。
86 0
|
5月前
|
Ubuntu PHP Apache
蓝易云 - 如何在Ubuntu 22.04上安装PHP8.1并设置本地开发环境
以上就是在Ubuntu 22.04上安装PHP 8.1并设置本地开发环境的步骤。
341 2
|
5月前
|
设计模式 算法 PHP
经验大分享:php常见五种设计模式
经验大分享:php常见五种设计模式
25 0
|
5月前
|
运维 Serverless 数据处理
函数计算产品使用问题之 php环境中如何修改PHP允许的文件上传大小和POST最大大小
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
5月前
|
应用服务中间件 Linux 网络安全
PHP应用部署在App Service for Linux环境中,上传文件大于1MB时,遇见了413 Request Entity Too Large 错误的解决方法
在Azure App Service for Linux上部署的PHP应用遇到上传文件超过1MB时出现413 Request Entity Too Large错误的解决之法
222 0