限定某个目录禁止解析php、限制user_agent、PHP相关配置

限定某个目录禁止解析php

某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,
比如某些目录可以上传文件, 为了避免上传的文件有×××, 所以我们禁止这个目录下面的访问解析 php.

测试目标:禁止PHP解析mm.com下yang目录内的文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

添加以下内容

<Directory /data/wwwroot/mm.com/yang>
    php_admin_flag engine off
    </Directory>
    ![](http://i2.51cto.com/images/blog/201806/02/0e26419c6e77ca3c9c32ff38d10225d9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

然后在mm.com目录下创建yang目录,并创建一个index.php文件
mkdir /data/wwwroot/mm.com/yang 创建文件夹yang
vim /data/wwwroot/mm.com/yang/index.php 创建index.php文件

在index.php下添加如下内容

<?php
echo "帅陽陽";

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl进行测试
curl -x192.168.71.131:80 mm.com/yang/index.php

限定某个目录禁止解析php、限制user_agent、PHP相关配置

可以看到PHP没有进行解析,直接输出源代码
这样设置可能不太友好,我们可以直接将其deny

编辑虚拟主机配置文件
添加以下内容

<Directory /data/wwwroot/mm.com/yang>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
           Order allow,deny
           deny from all
        </FilesMatch>
</Directory>

限定某个目录禁止解析php、限制user_agent、PHP相关配置

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

进行测试,显示403 Forbidden
curl -x192.168.71.131:80 mm.com/yang/index.php

限定某个目录禁止解析php、限制user_agent、PHP相关配置


限制user_agent

User-Agent(浏览器类型),即不让哪些浏览器来访问我们的网站
实验目标:限制user_agent为curl或者baidu.com的访问
编辑虚拟主机配置文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

在配置文件中添加如下内容:

<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.*
        RewriteRule  .*  -  [F] 
    </IfModule>

上图的第三四行是条件,他们中间用OR作为他们的连接符,意思是user_agent匹配上面或者下面的条件,他们是或者的关系,如果不加OR就是并且的关系,NC表示忽略大小写,
第五行后面的F表示Forbidden的意思。

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl进行测试
curl -x192.168.71.131:80 'http://kjj.com/index.php' -I

显示403,原因就是因为user_agent是curl

然后我们-A自定义一下user_agent
curl -A "huangmingyang" -x192.168.71.131:80 'http://kjj.com/index.php' -I

结果是200,可以正常访问

curl常用选项:-A指定user_agent、-e指定referer、-x相当于是省略了hosts、-I只查看状态码。


php相关配置

查看php配置文件
在网站根目录下创建index.php
vim /data/wwwroot/mm.com/index.php

添加如下内容

<?php
phpinfo();

然后在浏览器器访问网站
我们可看到php的配置信息

限定某个目录禁止解析php、限制user_agent、PHP相关配置

可以看到php的配置文件存放在:/usr/local/php/etc/php.ini
如果在Loaded Configuration File这一栏显示的是(none),那么说明配置文件没有记载
如果需要启动配置文件,我们可以拷贝模板配置文件,模板配置文件通常在源码包里面放置的有,执行命令:
cp php.ini-development /usr/local/php/etc/php.ini

拷贝配置文件后需要重新加载下Apache再进行刷新就可以了

编辑配置文件
vim /usr/local/php/etc/php.in

启用disable_functions,可以禁用一些危险的函数,提高服务器的安全
搜索关键字:disable_functions 找到如下行:
disable_functions=

在后面添加如下内容
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos

限定某个目录禁止解析php、限制user_agent、PHP相关配置

定义date.timezone ,时区
搜索关键字:date.timezone 找到如下行:
在后面添加如下内容,将时区定义为上海
Asia/shanghai

限定某个目录禁止解析php、限制user_agent、PHP相关配置

定义错误日志
搜索关键字:display_errors ,找到图片中的段
将其中的On改为Off,
更改之后错误的信息不会输出到浏览器里面,避免目录出现暴露

限定某个目录禁止解析php、限制user_agent、PHP相关配置

错误的信息看不到,那么我们还需要配置错误日志,以方便查找错误
搜索关键字:error_log ,找到图片中的行 ,可以自己定义错误日志存放的地址
限定某个目录禁止解析php、限制user_agent、PHP相关配置

定义错误日志记录的级别
搜索关键字:error_rep ,找到图中的标记红色的行,将级别更改为E_ALL,表示记录所有的警告
限定某个目录禁止解析php、限制user_agent、PHP相关配置

open_basedir
将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。
特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险,因为脚本的工作目录可以轻易被 chdir() 而改变。
在 httpd.conf 文件中中,open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭(例如某些虚拟主机中)。
作为 Apache 模块时,父目录中的 open_basedir 路径自动被继承。
用 open_basedir 指定的限制实际上是前缀,不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”,如果它们存在的话。如果要将访问限制在仅为指定的目录,用斜线结束路径名。例如:“open_basedir = /dir/incl/”。

针对不同的站点设置open_basedir,将用户可操作的文件限制在某目录下

  1. 编辑虚拟主机配置文件
    vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
  2. 在配置文件里面添加如下内容即可实现
    php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

文章来源: 限定某个目录禁止解析php、限制user_agent、PHP相关配置

人吐槽 人点赞

猜你喜欢

发表评论

用户名: 密码:
验证码: 匿名发表

你可以使用这些语言

查看评论:限定某个目录禁止解析php、限制user_agent、PHP相关配置