码迷,mamicode.com
首页 > Web开发 > 详细

11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

时间:2018-03-08 10:40:29      阅读:204      评论:0      收藏:0      [点我收藏+]

标签:十一周二次课(3月7日)

11.28 限定某个目录禁止解析php
技术分享图片
例如一些目录允许上传图片,为防止有人上传带有病毒php文件,所以禁止php解析,一般存放静态的文件上的目录是不允许解析PHP文件的
技术分享图片
重新加载配置文件

技术分享图片
创建upload目录,访问提示403状态码
技术分享图片
在浏览器打开是无法打开的,连访问的机会都没有
技术分享图片
将下图的注释掉
技术分享图片
再重新加载后测试,这时候不能解析了,显示它的源代码
技术分享图片
在浏览器打开提示下载
技术分享图片
11.29 限制user_agent
技术分享图片
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
技术分享图片
重新加载配置文件,curl访问提示状态码是403,就是因为user_agent是curl 所以无法访问
技术分享图片
用curl -A来自定义下user_agent就可以访问了,状态码是200,直接可以访问
技术分享图片
查看日志的user_agent 下图所示
技术分享图片
11.30/11.31 php相关配置
技术分享图片
在下面这个根目录下创建phpinfo
技术分享图片
技术分享图片
在浏览器查看php.ini配置文件的路径,但是实际上没有加载
技术分享图片
没有加载就需要在源码包复制一个php.ini进去
技术分享图片
再重新加载一下配置文件
技术分享图片
刷新一下浏览器就加载了配置文件的路径
技术分享图片
这时候就可以去编辑配置文件做一些限制了
vim /usr/local/php7/etc/php.ini
输入/disable_fu 搜索到的是空的,再加入一些比较危险的函数
技术分享图片
测试phpinfo的作用打开网可以看到站点的具体内容,如果禁掉就无法打开站 点了
技术分享图片
所 以这里就把phpinfo取消,因为还需要使用它
还需要定义date.timezone,如果不定义这个可以会有一些告紧信息,可以定的上海或重庆都是可以的
技术分享图片
上面把phpinfo函数禁用了,打开网页时把错信息显示 在页面上了,这样容易暴路信息
技术分享图片
重新加载 配置文件
技术分享图片
浏览器重新刷新一下,没有错误提示了,显示空白
技术分享图片
curl -A查看也是没有任何的输出 也是白页,但这不是我们想要的结果 ,因为不知道什么问题,不知道发生事
技术分享图片
这时候就要配置几个错误日志,方便查找原因
vim /usr/local/php7/etc/php.ini
输入/log_errors查看是否开启
技术分享图片
输入error_log定义路径
技术分享图片
这时候还要定义error_log的级别,如果error_log的级别很高的话,它仅仅会记录一比较来严峻的错误
像一些警告的就不会记录,所在就不知道错误在那
输入/error_reporting 在 生产中我们用E_ALL & E_NOTICE就可以了,这里用E_ALL
技术分享图片
加载配置文件测试,在/tmp下生成了php_errors.log日志文件,并查看它的属主属组
技术分享图片
它的属主属组其实是httpd的属主属组
技术分享图片
如果有一天发现错误日志始终没有写进定义的错误日志文件里,那么你就要查看一下这个定义的文件所在的目录有没有写的权限,这个写的权限的人就是httpd的启动用户,这里是deamon这个用户,为了安全起见也可以在创建touch /tmp/php_erroes.log然后再给它权限chmod 777 /tmp/php_erroes.log
查看下日志记录,然后再模拟下访问,再查看日志文件,这时候就出现Parse更严重的安全级别了
我们在排查错误的时候一定要有错误日志,如果没有是不行的
技术分享图片
下面介绍open_basedir安全选项
例如一个服务器上跑了N多个站点,有一些站点漏洞很多,结果这个站点被黑了,被人拿到了权限,不断惨透服务器,就有可能造成其它站点也会被黑了,这个时候增加一个open_basedir就有可能防止其它网站被黑,A网站目录在A目录下,B网站目录在B目录下,这2个目录做一个隔离,A网站被黑了也只能看到A目录,但看不到B目录,因为没有权限进去B目录,这个就是open_basedir的作用
编辑配置文件,故意把111.com写错1111.com
技术分享图片
测试一下结果 提示状态码为500
技术分享图片
将1111.com更改成正确的111.com
技术分享图片
访问的状态码就正确了 200
技术分享图片
如果这个服务器有N多个站点,都在这个目录下,更改php.in只针对一个目录,那么其它站点都在这个目录,都可以访问,更改php.ini文件就不合适了,php.ini是做不到的
这时候需要针对这些站点去做open_basedir,就要到虚拟服务器里去做限制了
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
/tmp/默认存放临时文件,如果限制了就无法写入临时文件,例如上传图片,它会先把图片放在临时目录,再把图片放到该放的地方,根据不同的虚拟主机限制open_basedir
技术分享图片
测试可以访问
技术分享图片

扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

标签:十一周二次课(3月7日)

原文地址:http://blog.51cto.com/13450039/2084042
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!