当前位置:   article > 正文

PHP环境安全加固_php等保

php等保

转载来源 : https://help.aliyun.com/knowledge_detail/50218.html

介绍

随着使用 PHP 环境的用户越来越多,相关的安全问题也变得越来越重要。PHP 环境提供的安全模式是一个非常重要的内嵌安全机制,PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。

本文档将介绍如何使用 PHP 的安全模式功能来保护您网站的安全性。

注意: PHP 的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在 PHP 层上解决这个问题是不合理的。因此,PHP 的安全模式特性自 PHP 5.3.0 起废弃并自 PHP 5.4.0 起移除。本文内容仅适用于 PHP 5.3.0 以下版本。

一、启用 PHP 的安全模式

PHP 环境提供的安全模式是一个非常重要的内嵌安全机制,PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。

您可以通过修改 php.ini 配置文件启用 PHP 安全模式:

safe_mode = on
  • 1

二、用户组安全

当您启用安全模式后,如果safe_mode_gid选项被关闭,PHP 脚本能够对文件进行访问,且相同用户组的用户也能够对该文件进行访问。

因此,建议您将该选项设置为关闭状态:

safe_mode_gid = off
  • 1

注意: 该选项参数仅适用于 Linux 操作系统。

如果不进行该设置,您可能无法对服务器网站目录下的文件进行操作。

三、安全模式下执行程序主目录

如果启用了安全模式后,想要执行某些程序的时候,可以指定需要执行程序的主目录,例如:

safe_mode_exec_dir = /usr/bin
  • 1

一般情况下,如果不需要执行什么程序,建议您不要指定执行系统程序的目录。您可以指定一个目录,然后把需要执行的程序拷贝到这个目录即可,例如:

safe_mode_exec_dir = /temp/cmd
  • 1

但是,更推荐您不要执行任何程序。这种情况下,只需要将执行目录指向网页目录即可:

safe_mode_exec_dir = /usr/www
  • 1

注意:执行目录的路径以您实际操作系统目录路径为准。

四、安全模式下包含文件

如果您需要在安全模式下包含某些公共文件,您只需要修改以下选项即可:

safe_mode_include_dir = /usr/www/include/
  • 1

一般情况下,PHP 脚本中包含的文件都是在程序已经写好的,可以根据您的具体需要进行设置。

五、控制 PHP 脚本能访问的目录

使用open_basedir选项能够控制 PHP 脚本只能访问指定的目录,这样能够避免 PHP 脚本访问不应该访问的文件,一定程度下降低了 phpshell 的危害。一般情况下,可以设置为只能访问网站目录:

open_basedir = /usr/www
  • 1

六、关闭危险函数

如果您启用了安全模式,那么可以不需要设置函数禁止,但为了安全考虑,还是建议您进行相关设置。例如,您不希望执行包括system()等在内的执行命令的 PHP 函数,以及能够查看 PHP 信息的phpinfo()等函数,那么您可以通过以下设置禁止这些函数:

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl
``
如果您想要禁止对于任何文件和目录的操作,那么您可以关闭以下文件相关操作。
```csharp
disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown
  • 1
  • 2
  • 3
  • 4
  • 5

注意: 以上设置中只列举了部分比较常用的文件处理函数,您也可以将上面的执行命令函数和这些文件处理函数相结合,就能给抵制大部分的 phpshell 威胁。

七、关闭 PHP 版本信息在 HTTP 头中的泄露

为了防止黑客获取服务器中 PHP 版本的信息,您可以禁止该信息在 HTTP 头部内容中泄露:

expose_php = off
  • 1

这样设置之后,黑客在执行telnet 80尝试连接您的服务器的时候,将无法看到 PHP 的版本信息。

八、关闭注册全局变量

在 PHP 环境中提交的变量,包括使用 POST 或者 GET 命令提交的变量,都将自动注册为全局变量,能够被直接访问。这对您的服务器是非常不安全的,因此建议您将注册全局变量的选项关闭,禁止将所提交的变量注册为全局变量。

register_globals = off
  • 1

注意: 该选项参数在 PHP 5.3 以后的版本中已被移除。

当然,如果这样设置之后,获取对应变量的时候就需要采取合理方式。例如,获取 GET 命令提交的变量 var,就需要使用$_GET[‘var’]命令来进行获取,在进行 PHP 程序设计时需要注意。

九、SQL 注入防护

SQL 注入是一个非常危险的问题,小则造成网站后台被入侵,重则导致整个服务器沦陷。

magic_quotes_gpc选项默认是关闭的。如果打开该选项,PHP 将自动把用户提交对 SQL 查询的请求进行转换(例如,把 ’ 转换为 \’ 等),这对于防止 SQL 注入攻击有很大作用,因此建议您将该选项设置为:

magic_quotes_gpc = on
  • 1

注意: 该选项参数在 PHP 5.4.0 以后的版本中已被移除。

十、错误信息控制

一般 PHP 环境在没有连接到数据库或者其他情况下会有错误提示信息,错误信息中可能包含 PHP 脚本当前的路径信息或者查询的 SQL 语句等信息,这类信息如果暴露给黑客是不安全的,因此建议您禁止该错误提示:

display_errors = Off
  • 1

如果您确实要显示错误信息,一定要设置显示错误信息的级别。例如,只显示警告以上的错误信息:

error_reporting = E_WARNING & E_ERROR
  • 1

注意: 强烈建议您关闭错误提示信息。

十一、错误日志

建议您在关闭错误提示信息后,对于错误信息进行记录,便于排查服务器运行异常的原因:

log_errors = On
  • 1

同时,需要设置错误日志存放的目录,建议您将 PHP 错误日志与 Apache 的日志存放在同一目录下:

error_log = /usr/local/apache2/logs/php_error.log
  • 1

注意: 该文件必须设置允许 Apache 用户或用户组具有写的权限。

转载来源 :https://help.aliyun.com/knowledge_detail/37453.html?spm=a2c4g.11186623.4.6.d15b53edu1Bzt1

十二、PHP站防止cc攻击脚本

遇到问题:
昨天网站突然打不开,以为是php环境出了问题,各种排除问题,最终发现是80端口出了故障,于是想到很可能是被同行攻击了,通过 “netstat -ano” 命令发现是慢性的CC攻击,我的云服务器配置比较低,CPU消耗高达100%,服务器80端口资源被占用,最终导致网站直接崩溃。
解决思路:
1、第一个方法是:使用网站安全狗的CC防护功能,但安全狗容易把正常访问的ip也屏蔽,很不利于网站用户的访问。而且网站安全狗在处理大量访问数据时,也一样占用很大的CPU。
2、第二个方法是:把网站的访问端口改成88,然后通过IP安全策略封杀掉80端口,这样确实是能百分百有效的防护攻击,但用户都是用80端口访问的,突然改用80的话,就会无形中丢失很多用户。
3、第三个方法是:找机房技术人员在第一道防火墙添加了80端口的安全策略,技术人员调试了很多次,终于可以无视任何CC攻击了,但为了安全保障,因此在代码里多加了个防CC攻击的功能,代码如下:
在indx.php入口文件中添加以下代码:

<?php
//防CC攻击
sheli_cc();
function sheli_cc(){
//代理IP直接退出
empty($_SERVER['HTTP_VIA']) or exit('Access Denied');
//防止快速刷新
session_start();
$seconds = '60'; //时间段[秒]
$refresh = '12'; //刷新次数
//设置监控变量
$cur_time = time();
if(isset($_SESSION['last_time'])){
$_SESSION['refresh_times'] += 1;
}else{
$_SESSION['refresh_times'] = 1;
$_SESSION['last_time'] = $cur_time;
}
//处理监控结果
if($cur_time - $_SESSION['last_time'] < $seconds){
if($_SESSION['refresh_times'] >= $refresh){
//跳转至攻击者服务器地址
//header(sprintf('Location:%s', 'http://127.0.0.1'));
exit('请求频率太快,稍候'.$seconds.'秒后再访问!');
}
}else{
$_SESSION['refresh_times'] = 0;
$_SESSION['last_time'] = $cur_time;
}
}
?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31

phpMyadmin 服务安全加固

漏洞描述

phpMyadmin 是一款流行的数据库管理系统,如果口令设置过于简单,攻击者可以登录到系统,对数据库进行任意增、删、改等高风险恶意操作,从而导致数据泄露或其他入侵事件发生,安全风险高。

加固方案

根据通常的业务需求,数据库管理后台主要方便地为数据库管理员、开发人员服务,使用人员范围小,一旦对外网全部开放,将可能会造成严重的数据泄露事件发生。所以在部署安装完毕后,我们建议您对 phpMyadmin 管理控制台进行安全加固,具体如下:

1.网络访问控制策略

限制访问人员 IP 配置 phpMyadmin。

  • 您可以使用云服务器提供的 安全组防火墙策略 对访问源 IP 地址进行限制,避免不必要的人员访问数据库管理后台。
  • phpMyadmin 也默认提供了访问控制功能,具体配置如下:
    进入 phpMyAdmin 目录,找到 config.inc.php,如果没有,可以将根目录下的config.sample.inc.php 复制为 config.inc.php。

编辑 config.inc.php,添加下面两行代码,其中 192.168.0.1 是允许访问 phpMyAdmin 的 IP,Access denied 是未经授权访问时的提示信息:

?$ip_prefix = '192.168.0.1';
if (substr($_SERVER['REMOTE_ADDR'], 0, strlen($ip_prefix)) != $ip_prefix ) die('Access denied')
  • 1
  • 2

在这里插入图片描述
2.账号与口令安全策略

  • 设置强度复杂的口令,可以有效避免被攻击者轻易猜解成功,设置完毕后无需重启服务,及时生效;
  • 根据使用人员角色对数据库账号进行精细化授权,防止运维风险;

具体可以参见 。

3.安全检测和监控

  • 阿里云云盾态势感知支持该漏洞的检测和监控告警功能,建议您到控制台开通基础版态势感知,可以实时检测和告警,帮助您及时了解安全漏洞,并指导您快速修复该问题。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/338442?site
推荐阅读
相关标签
  

闽ICP备14008679号