码迷,mamicode.com
首页 > Web开发 > 详细

11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

时间:2018-03-08 10:40:29      阅读:204      评论:0      收藏:0      [点我收藏+]

标签:十一周二次课(3月7日)

11.28 限定某个目录禁止解析php
技术分享图片
例如一些目录允许上传图片,为防止有人上传带有病毒php文件,所以禁止php解析,一般存放静态的文件上的目录是不允许解析PHP文件的
技术分享图片
重新加载配置文件

技术分享图片
创建upload目录,访问提示403状态码
技术分享图片
在浏览器打开是无法打开的,连访问的机会都没有
技术分享图片
将下图的注释掉
技术分享图片
再重新加载后测试,这时候不能解析了,显示它的源代码
技术分享图片
在浏览器打开提示下载
技术分享图片
11.29 限制user_agent
技术分享图片
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
技术分享图片
重新加载配置文件,curl访问提示状态码是403,就是因为user_agent是curl 所以无法访问
技术分享图片
用curl -A来自定义下user_agent就可以访问了,状态码是200,直接可以访问
技术分享图片
查看日志的user_agent 下图所示
技术分享图片
11.30/11.31 php相关配置
技术分享图片
在下面这个根目录下创建phpinfo
技术分享图片
技术分享图片
在浏览器查看php.ini配置文件的路径,但是实际上没有加载
技术分享图片
没有加载就需要在源码包复制一个php.ini进去
技术分享图片
再重新加载一下配置文件
技术分享图片
刷新一下浏览器就加载了配置文件的路径
技术分享图片
这时候就可以去编辑配置文件做一些限制了
vim /usr/local/php7/etc/php.ini
输入/disable_fu 搜索到的是空的,再加入一些比较危险的函数
技术分享图片
测试phpinfo的作用打开网可以看到站点的具体内容,如果禁掉就无法打开站 点了
技术分享图片
所 以这里就把phpinfo取消,因为还需要使用它
还需要定义date.timezone,如果不定义这个可以会有一些告紧信息,可以定的上海或重庆都是可以的
技术分享图片
上面把phpinfo函数禁用了,打开网页时把错信息显示 在页面上了,这样容易暴路信息
技术分享图片
重新加载 配置文件
技术分享图片
浏览器重新刷新一下,没有错误提示了,显示空白
技术分享图片
curl -A查看也是没有任何的输出 也是白页,但这不是我们想要的结果 ,因为不知道什么问题,不知道发生事
技术分享图片
这时候就要配置几个错误日志,方便查找原因
vim /usr/local/php7/etc/php.ini
输入/log_errors查看是否开启
技术分享图片
输入error_log定义路径
技术分享图片
这时候还要定义error_log的级别,如果error_log的级别很高的话,它仅仅会记录一比较来严峻的错误
像一些警告的就不会记录,所在就不知道错误在那
输入/error_reporting 在 生产中我们用E_ALL & E_NOTICE就可以了,这里用E_ALL
技术分享图片
加载配置文件测试,在/tmp下生成了php_errors.log日志文件,并查看它的属主属组
技术分享图片
它的属主属组其实是httpd的属主属组
技术分享图片
如果有一天发现错误日志始终没有写进定义的错误日志文件里,那么你就要查看一下这个定义的文件所在的目录有没有写的权限,这个写的权限的人就是httpd的启动用户,这里是deamon这个用户,为了安全起见也可以在创建touch /tmp/php_erroes.log然后再给它权限chmod 777 /tmp/php_erroes.log
查看下日志记录,然后再模拟下访问,再查看日志文件,这时候就出现Parse更严重的安全级别了
我们在排查错误的时候一定要有错误日志,如果没有是不行的
技术分享图片
下面介绍open_basedir安全选项
例如一个服务器上跑了N多个站点,有一些站点漏洞很多,结果这个站点被黑了,被人拿到了权限,不断惨透服务器,就有可能造成其它站点也会被黑了,这个时候增加一个open_basedir就有可能防止其它网站被黑,A网站目录在A目录下,B网站目录在B目录下,这2个目录做一个隔离,A网站被黑了也只能看到A目录,但看不到B目录,因为没有权限进去B目录,这个就是open_basedir的作用
编辑配置文件,故意把111.com写错1111.com
技术分享图片
测试一下结果 提示状态码为500
技术分享图片
将1111.com更改成正确的111.com
技术分享图片
访问的状态码就正确了 200
技术分享图片
如果这个服务器有N多个站点,都在这个目录下,更改php.in只针对一个目录,那么其它站点都在这个目录,都可以访问,更改php.ini文件就不合适了,php.ini是做不到的
这时候需要针对这些站点去做open_basedir,就要到虚拟服务器里去做限制了
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
/tmp/默认存放临时文件,如果限制了就无法写入临时文件,例如上传图片,它会先把图片放在临时目录,再把图片放到该放的地方,根据不同的虚拟主机限制open_basedir
技术分享图片
测试可以访问
技术分享图片

扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

标签:十一周二次课(3月7日)

原文地址:http://blog.51cto.com/13450039/2084042

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!