linux学习第四十二篇:限定某个目录禁止解析php, 限制user_agent,PHP相关配置

限定某个目录禁止解析php

  • 虚拟主机配置文件添加的核心配置内容:
    <Directory /data/wwwroot/111.com/upload>
        php_admin_flag engine off //在upload目录下禁止解析php
        <FilesMatch *\.php(.*)> //这行以及以下两行的意思就是
        //让php的文件访问受到限制,防止php文件的源代码被查看
        Order allow,deny
        Deny from all
        </FilesMatch>
    </Directory>
  • 保存后记得测试语法以及加载配置文件。在/data/wwwroot/111.com/目录下创建upload目录,在upload下创建编辑php文件,内容可以为:
<?
echo "123.php";
?>
  • curl测试时直接返回了php源代码,并未解析 此时没有加上FilesMatch那几行配置,只有php_admin_flag engine off这行配置,所以访问时返回了php源代码,并未解析:

加上FilesMatch几行配置之后,访问php文件会出现403状态码,所以访问受到限制,就无法去解析php,也无法看到php的源代码:

  • PS:一般静态文件目录下是不允许存放php的

限制user_agent

user_agent可以理解为浏览器标识,针对user_agent来限制一些访问,比如可以限制一些不太友好的搜索引擎“爬虫”,你之所以能在百度搜到一些论坛,就是因为百度会派一些“蜘蛛爬虫”过来抓取网站数据。“蜘蛛爬虫”抓取数据类似于用户用浏览器访问网站,当“蜘蛛爬虫”太多或者访问太频繁,就会浪费服务器资源。另外,也可以限制恶意请求,这种恶意请求我们通常称作cc攻击,他的原理很简单,就是用很多用户的电脑同时访问同一个站点,当访问量或者频率达到一定层次,会耗尽服务器资源,从而使之不能正常提供服务。这种cc攻击其实有很明显的规律,其中这些恶意请求的user_agent相同或者相似,那我们就可以通过限制user_agent发挥防攻击的作用。

  • 下面是针对user_agent来做访问限制的核心配置文件内容:
<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        //OR是或者的意思,user_agent匹配curl或者匹配baidu.com
        //NC是忽略大小写
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F] //F是Forbidden
    </IfModule>
  • curl -A “xie xie” 指定user_agent 如果不指定user_agent,那么curl作为user_agent会被限制访问

使用参数 -A 指定了别的user_agent后就可以访问 PS:curl的 -A是指定user_agent -e 是指定referer -I 查看状态码

PHP相关配置

  • 查看php配置文件位置 /usr/local/php/bin/php -i|grep -i “loaded configuration file” 第一行为警告信息,可以忽略,取消这个警告需要编辑php.ini,找到date.timezone并设置为:date.timezone = Asia/Shanghai

如果没有就需要进入源码包里:cd /usr/local/src/php-5.6.30/ 在源码包里复制php.ini到php的安装目录中:cp php.ini-development /usr/local/php5/etc/php.ini

  • PHP有诸多内置的函数,有一些函数(exec)会直接调取linux系统命令,如果开放将会非常危险。因此,基于安全考虑应该把一些存在安全风险的函数禁掉,编辑php.ini:vim /usr/local/php/etc/php.ini,搜索找到disable_functions,disable_functions默认是空的,把eval等所有函数加上。 disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 很多企业会把phpinfo也加上禁掉,因为有时候会不小心写了一个phpinfo的一个页面上传到线上去,然后被一些黑客扫到,能够看到你系统的一些目录。

配置完disable_functions之后访问网站就会出现这样:

  • display_errors如果为on就会出现上图网站中错误信息,这容易被人看到你的系统目录,所以需要把display_errors改为Off:
  • log_errors 是否记录错误日志,在配置文件中是On开启的 error_log 设定错误日志的路径

error_reporting 设定错误日志的级别,E_All 为所有类型的日志,不管是提醒还是警告都会记录。一般为E_ALL & ~E_NOTICE,排除掉notice相关的日志

  • open_basedir的作用是将网站限定在指定目录里,就算该站点被黑了,黑客只能在该目录下面有所作为,而不能左右其他目录。如果你的服务器只有一个站点那可以直接在php.ini中设置open_basedir参数。但如果服务器上跑的站点比较多,那在php.ini中设置就不合适了,因为在php.ini中只能定义一次,也就是说所有站点都一起定义限定的目录,那这样似乎起不到隔离多个站点的目的。 open_basedir可以是多个目录,用:分隔,这里设定的是只可以在1111.com目录和tmp目录下活动

用curl测试,发现500状态码,日志里也说明了只允许在1111.com目录和tmp目录下活动

  • 可以在Apache虚拟主机配置文件中添加下列的配置语句,可以针对不同的虚拟主机设置不同的open_basedir,除此之外像error_log之类的也可以定义(PS:为什么要带tmp,因为默认的临时文件是放在tmp,如果不加tmp,就是把tmp限制了,它连自己的临时文件都写不了): php_admin_value open_basedir “/data/wwwroot/111.com:/tmp/”

扩展 apache开启压缩 http://ask.apelearn.com/question/5528 apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292 apache options参数 http://ask.apelearn.com/question/1051 apache禁止trace或track防止xss http://ask.apelearn.com/question/1045 apache 配置https 支持ssl http://ask.apelearn.com/question/1029

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏地方网络工作室的专栏

Shell 命令行实现将一个站点页面全部下载到本地并替换其中链接的脚本

Shell 命令行实现将一个站点页面全部下载到本地并替换其中链接的脚本 不知道为什么,我总想用 Shell 脚本来实现把一个站点内容给下载下来。但是下载什么站点...

2065
来自专栏康怀帅的专栏

PHP Cookie

Cookie 保存在客户端,分为 内存 Cookie 和 硬盘 Cookie。 设置 Cookie setcookie($name [, $value, $ex...

2875
来自专栏游戏杂谈

rtx登录内网系统

公司内部使用rtx进行沟通和交流,经常遇到订餐的问题,用php写了一个订餐系统,实现rtx上点击链接打开系统就自动登录了,无需再次输入用户名和密码。

2801
来自专栏Coding迪斯尼

java开发操作系统:一个程序向另一个程序伸出的咸猪手

1634
来自专栏JavaEdge

Java开发必备linux命令集锦文件管理磁盘管理文档编辑系统管理rpm -aq|grep phpgrep someText *ifconfigenvexportechonetstat -npllso

34310
来自专栏C/C++基础

DOS常用命令大全

2010-04-17 22:27:19|  分类: 电脑技术 |  标签:dos命令大全 |字号大中小 订阅

2041
来自专栏乐沙弥的世界

快速安装及部署DRBD

891
来自专栏SDNLAB

SDN开发笔记(一):SDN开发环境的搭建(win7环境)

前言 鉴于网上对于SDN开发相关的资料较少又乱的现状,从这篇文章开始,我将陆续分享我在SDN开发过程中的经验,我的SDN项目开发是基于OpenDaylight的...

4238
来自专栏wblearn

package.json文件快速入门详解

相信入门nodejs或者npm的同学会对package.json这个文件有疑惑,对这个文件的作用不是很清晰,但搭建自己的博客每每用到node,npm这个文件又必...

1281
来自专栏醉生梦死

MySQL客户端连接工具 mysql

4266

扫码关注云+社区

领取腾讯云代金券