亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Linux下PHP網站服務器安全配置如何加固防護

發布時間:2021-07-16 14:47:06 來源:億速云 閱讀:169 作者:小新 欄目:服務器

這篇文章給大家分享的是有關Linux下PHP網站服務器安全配置如何加固防護的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。

PHP被廣泛用于各種Web開發。而當服務器端腳本配置錯誤時會出現各種問題。現今,大部分Web服務器是基于Linux環境下運行(比如:Ubuntu,Debian等)。

本文詳細總結了PHP網站在Linux服務器上面的安全配置,包含PHP安全、mysql數據庫安全、web服務器安全、木馬查殺和防范等,很好很強大很安全。(如果需要深入的安全部署建議找專業做安全的國內公司如:Sinesafe,綠盟,啟明星辰等等都是比較不錯的專業做網站安全的公司)

PHP安全配置

1. 確保運行php的用戶為一般用戶,如www

2. php.ini參數設置

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函數

expose_php = off #避免暴露PHP信息

display_errors = off #關閉錯誤信息提示

register_globals = off #關閉全局變量

enable_dl = off #不允許調用dl

allow_url_include = off #避免遠程調用文件

session.cookie_httponly = 1 #http only開啟

upload_tmp_dir = /tmp#明確定義upload目錄

open_basedir = ./:/tmp:/home/wwwroot/#限制用戶訪問的目錄

open_basedir參數詳解

open_basedir可將用戶訪問文件的活動范圍限制在指定的區域,通常是其家目錄的路徑,也可用符號"."來代表當前目錄。注意用open_basedir指定的限制實際上是前綴,而不是目錄名。

舉例來說: 若"open_basedir = /home/wwwroot", 那么目錄"/home/wwwroot"和"/home/wwwroot1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄,請用斜線結束路徑名。

注意:

從網上獲取的資料來看,open_basedir會對php操作io的性能產生很大的影響。研究資料表明,配置了php_basedir的腳本io執行速度會比沒有配置的慢10倍甚至更多,請大家自己衡量

open_basedir也可以同時設置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用冒號分隔目錄。當其作用于Apache模塊時,父目錄中的open_basedir路徑自動被繼承。

MySQL安全設置

1. MySQL版本的選擇

在正式生產環境中,禁止使用4.1系列的MySQL數據庫。至少需要使用5.1.39或以上版本。

2. 網絡和端口的配置

在數據庫只需供本機使用的情況下,使用–skip-networking參數禁止監聽網絡 。

3. 確保運行MySQL的用戶為一般用戶,如mysql,注意存放數據目錄權限為mysql

vi/etc/my.cnf 
user = mysql

4. 開啟mysql二進制日志,在誤刪除數據的情況下,可以通過二進制日志恢復到某個時間點

vi/etc/my.cnf 
log_bin = mysql-bin 
expire_logs_days = 7

5. 認證和授權

(1) 禁止root賬號從網絡訪問數據庫,root賬號只允許來自本地主機的登陸。

mysql>grantallprivilegeson*.* toroot @localhost identified by'password'withgrantoption; 
mysql>flush priveleges;

(2) 刪除匿名賬號和空口令賬號

mysql>USE mysql; 
mysql>deletefromuserwhereUser=; 
mysql>deletefromuserwherePassword=; 
mysql>deletefromdb whereUser=;

web服務器安全

確保運行Nginx或者Apache的用戶為一般用戶,如www,注意存放數據目錄權限為www

防止sql注入

if( $query_string ~* ".*[\;'\<\>].*"){ 
return404; 
}

關閉存放數據上傳等目錄的PHP解析

location ~* ^/(attachments|data)/.*\.(php|php5)${ 
deny all; 
}

針對Apache:關閉圖片目錄/上傳等目錄的PHP解析

order allow,deny 
Deny from all

木馬查殺和防范

php木馬快速查找命令

grep-r --include=*.php '[^a-z]eval($_POST'/home/wwwroot/ 
grep-r --include=*.php 'file_put_contents(.*$_POST\[.*\]);'/home/wwwroot/

利用find mtime查找最近兩天或者發現木馬的這幾天,有哪些PHP文件被修改

find-mtime -2 -typef -name \*.php

防范:

1. 做好之前的安全措施,比如禁用相關PHP函數等

2. 改變目錄和文件屬性

find-typef -name \*.php -execchomd 644 {} \; 
find-typed -execchmod755 {} \; 
chown-R www.www /home/wwwroot/www.waitalone.cn

3. 為防止跨站感染,需要做虛擬主機目錄隔離

(1) nginx的簡單實現方法

利用nginx跑多個虛擬主機,習慣的php.ini的open_basedir配置:

open_basedir = ./:tmp:/home/wwwroot/

注:/home/wwwroot/是放置所有虛擬主機的web路徑

黑客可以利用任何一個站點的webshell進入到/home/wwwroot/目錄下的任何地方,這樣對各個虛擬主機的危害就很大

例如: /data/www/wwwroot目錄下有2個虛擬主機

修改php.ini

open_basedir = ./:/tmp:/home/wwwroot/www.sinesafe.com:/home/wwwroot/back.sinesafe.com

這樣用戶上傳webshell就無法跨目錄訪問了。

(2) Apache的實現方法,控制跨目錄訪問

在虛擬機主機配置文件中加入

php_admin_value open_basedir "/tmp:/home/wwwroot/www.sinesafe.com"

感謝各位的閱讀!關于“Linux下PHP網站服務器安全配置如何加固防護”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

巴东县| 襄垣县| 清水河县| 巴南区| 万盛区| 田东县| 塔城市| 甘肃省| 师宗县| 大余县| 边坝县| 台州市| 紫阳县| 唐河县| 育儿| 通城县| 西平县| 福海县| 上犹县| 长武县| 嘉善县| 定安县| 神池县| 桂东县| 宽甸| 双鸭山市| 新宁县| 慈利县| 天全县| 大荔县| 惠水县| 江北区| 绩溪县| 新巴尔虎右旗| 喀喇沁旗| 滨海县| 汽车| 河池市| 南陵县| 桑日县| 莱阳市|