PHP环境安全加固配置

栏目: PHP · 发布时间: 6年前

内容简介：PHP环境安全加固配置

A+

所属分类：安全

php-">一、启用 PHP 的安全模式

PHP 环境提供的安全模式是一个非常重要的内嵌安全机制，PHP 安全模式能有效控制一些 PHP 环境中的函数（例如 system() 函数），对大部分的文件操作函数进行权限控制，同时不允许对某些关键文件进行修改（例如 /etc/passwd）。但是，默认的 php.ini 配置文件并没有启用安全模式。

可以通过修改 php.ini 配置文件启用 PHP 安全模式：

safe_mode = on

二、用户组安全

当启用安全模式后，如果 safe_mode_gid 选项被关闭，PHP 脚本能够对文件进行访问，且相同用户组的用户也能够对该文件进行访问。

因此，建议将该选项设置为关闭状态：

safe_mode_gid = off

该选项参数仅适用于 Linux 操作系统。

如果不进行该设置，可能无法对服务器网站目录下的文件进行操作。

三、安全模式下执行程序主目录

如果启用了安全模式后，想要执行某些程序的时候，可以指定需要执行程序的主目录，例如：

safe_mode_exec_dir = /usr/bin

一般情况下，如果不需要执行什么程序，建议您不要指定执行系统程序的目录。可以指定一个目录，然后把需要执行的程序拷贝到这个目录即可，例如：

safe_mode_exec_dir = /data/www/cmd

但是，更推荐不要执行任何程序。这种情况下，只需要将执行目录指向网页目录即可：

safe_mode_exec_dir = /data/www

四、安全模式下包含文件

如果需要在安全模式下包含某些公共文件，只需要修改以下选项即可：

safe_mode_include_dir = /data/www/include/

一般情况下，PHP 脚本中包含的文件都是在程序已经写好的，可以根据具体需要进行设置。

五、控制 PHP 脚本能访问的目录

使用 open_basedir 选项能够控制 PHP 脚本只能访问指定的目录，这样能够避免 PHP 脚本访问不应该访问的文件，一定程度下降低了 phpshell 的危害。一般情况下，可以设置为只能访问网站目录：

open_basedir = /data/www

六、关闭危险函数

如果启用了安全模式，那么可以不需要设置函数禁止，但为了安全考虑，还是建议进行相关设置。例如，不希望执行包括 system() 等在内的执行命令的 PHP 函数，以及能够查看 PHP 信息的 phpinfo() 等函数，那么您可以通过以下设置禁止这些函数：

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果想要禁止对于任何文件和目录的操作，可以关闭以下文件相关操作。

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

以上设置可以抵制大部分的 phpshell 威胁。

七、关闭 PHP 版本信息在 HTTP 头中的泄露

为了防止黑客获取服务器中 PHP 版本的信息，禁止该信息在 HTTP 头部内容中泄露：

expose_php = off

这样设置之后，黑客在执行 telnet <domain> 80 尝试连接服务器的时候，将无法看到 PHP 的版本信息。

八、错误信息控制

一般 PHP 环境在没有连接到数据库或者其他情况下会有错误提示信息，错误信息中可能包含 PHP 脚本当前的路径信息或者查询的 SQL 语句等信息，这类信息如果暴露给黑客是不安全的，因此禁止该错误提示：

display_errors = Off

如果确实要显示错误信息，一定要设置显示错误信息的级别。例如，只显示警告以上的错误信息：

error_reporting = E_WARNING & E_ERROR

强烈建议您关闭错误提示信息。

九、错误日志

在关闭错误提示信息后，对于错误信息进行记录，便于排查服务器运行异常的原因：

log_errors = On

同时，需要设置错误日志存放的目录：

error_log = /data/logs/php_error.log

该文件必须设置允许 Apache 或者nginx 用户或用户组具有写的权限。

微信公众号

扫一扫关注运维生存时间公众号，获取最新技术文章~

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

百面机器学习

诸葛越、葫芦娃 / 人民邮电出版社 / 2018-8-1 / 89.00元

人工智能领域正在以超乎人们想象的速度发展，本书赶在人工智能彻底占领世界之前完成编写，实属万幸。书中收录了超过100道机器学习算法工程师的面试题目和解答，其中大部分源于Hulu算法研究岗位的真实场景。本书从日常工作、生活中各种有趣的现象出发，不仅囊括了机器学习的基本知识，而且还包含了成为出众算法工程师的相关技能，更重要的是凝聚了笔者对人工智能领域的一颗热忱之心，旨在培养读者发现问题、解决问......一起来看看《百面机器学习》这本书的介绍吧!

码农工具

Base64 编码/解码

MD5 加密

MD5 加密工具