通过对服务器端特性的配置加强php的安全


Posted in PHP onOctober 09, 2006

作者:san < xuzhikun@nsfocus.com >
主页:http://www.nsfocus.com
日期:2001-11-15

    前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到 的问题,以及如何通过应用程序漏洞突破系统,这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写 cgi脚本的时候我们的确一定注意各种安全问题,对用户输入进行严格的过滤,但是常在岸边走哪有不湿鞋 ,吃烧饼哪有不掉芝麻,人有失蹄马有失手,连著名的phpnuke、phpMyAdmin等程序都出现过很严重的 问题,更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题,比如象前一阵子 phpnuke的可以上传php脚本的大问题了,我们如何通过对服务器的配置使脚本出现如此问题也不能突破 系统。

1、编译的时候注意补上已知的漏洞

   从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php   应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候   在编译前我们需要修改php源码包里
   ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c
   文件的第152行,也就是下面这行:
   if (extra_cmd != NULL) {
   后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);
   然后编译php,那么我们就修补了这个漏洞。

2、修改php.ini配置文件

   以php发行版的php.ini-dist为蓝本进行修改。
   1)Error handling and logging
     在Error handling and logging部分可以做一些设定。先找到:
     display_errors = On
     php缺省是打开错误信息显示的,我们把它改为:
     display_errors = Off

     关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一
     定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的     信息,起码给攻击者的黑箱检测造成一定的障碍 。这些错误信息可能对我们 自己有用,可以让它写到指定文件中去,那么修改以下:
     log_errors = Off
     改为:
     log_errors = On

     以及指定文件,找到下面这行:
     ;error_log = filename
     去掉前面的;注释,把filename改为指定文件,如
     /usr/local/apache/logs/php_error.log

     error_log = /usr/local/apache/logs/php_error.log
     这样所有的错误都会写到php_error.log文件里。

   2)Safe Mode

     php的safe_mode功能对很多函数进行了限制或禁用了,能在很大程度解决php的
     安全问题。在Safe Mode部分找到:
     safe_mode = Off
     改为:
     safe_mode = On

     这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和``     被禁止,其它的一些执行函数如:exec(), system(), passthru(), popen()     将被限制只能执行safe_mode_exec_dir指定目录下的程序。如果你实在是要 执行一些命令或程序,找到以下:
     safe_mode_exec_dir =
     指定要执行的程序的路径,如:
     safe_mode_exec_dir = /usr/local/php/exec

     然后把要用的程序拷到/usr/local/php/exec目录下,这样,象上面的被限制
     的函数还能执行该目录里的程序。

     关于安全模式下受限函数的详细信息请查看php主站的说明:
     http://www.php.net/manual/en/features.safe-mode.php

   3)disable_functions

     如果你对一些函数的危害性不太清楚,而且也没有使用,索性把这些函数禁
     止了。找到下面这行:
     disable_functions =
     在”=“后面加上要禁止的函数,多个函数用”,“隔开。

3、修改httpd.conf

   如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限 制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在
   httpd.conf里加上这么几行:

   <Directory /usr/local/apache/htdocs>
     php_admin_value open_basedir /usr/local/apache/htdocs
   </Directory>

   这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,
   如果错误显示打开的话

   会提示这样的错误:
   Warning: open_basedir restriction in effect. File is in wrong directory in
   /usr/local/apache/htdocs/open.php on line 4
   等等。

4、对php代码进行编译

   Zend对php的贡献很大,php4的引擎就是用Zend的,而且它还开发了ZendOptimizer
   和ZendEncode等许多php的加强组件。优化器ZendOptimizer只需在
   http://www.zend.com注册就可以免费得到,下面几个是用于4.0.5和4.0.6的
   ZendOptimizer,文件名分别对于各自的系统:

   ZendOptimizer-1[1].1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Solaris-sparc.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Windows-i386.zip

   优化器的安装非常方便,包里面都有详细的说明。以UNIX版本的为例,看清操
   作系统,把包里的ZendOptimizer.so文件解压到一个目录,假设是/usr/local/lib
   下,在php.ini里加上两句:
   zend_optimizer.optimization_level=15
   zend_extension="/usr/local/lib/ZendOptimizer.so"

   就可以了。用phpinfo()看到Zend图标左边有下面文字:
   with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies

   那么,优化器已经挂接成功了。
   但是编译器ZendEncode并不是免费的,这里提供给大家一个
   http://www.PHPease.com的马勇设计的编译器外壳,如果用于商业目的,请与
   http://www.zend.com联系取得许可协议。

   php脚本编译后,脚本的执行速度增加不少,脚本文件只能看到一堆乱码,这将
   阻止攻击者进一步分析服务器上的脚本程序,而且原先在php脚本里以明文存储
   的口令也得到了保密,如mysql的口令。不过在服务器端改脚本就比较麻烦了,
   还是本地改好再上传吧。

5、文件及目录的权限设置

   web目录里除了上传目录,其它的目录和文件的权限一定不能让nobody用户有写
   权限。否则,攻击者可   以修改主页文件,所以web目录的权限一定要设置好
   。 还有,php脚本的属主千万不能是root,因为safe_mode下读文件的函数被限
   制成被读文件的属主必须   和当前执行脚本的属主是一样才能被读,否则如果
   错误显示打开的话会显示诸如以下的错误:

   Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
   allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php
   on line 3
   这样我们能防止许多系统文件被读,比如:/etc/passwd等。

   上传目录和上传脚本的属主也要设成一样,否则会出现错误的,在safe_mode下
   这些要注意。

6、mysql的启动权限设置

   mysql要注意的是不要用root来启动,最好另外建一个mysqladm用户。可以在
   /etc/rc.local等系统启动脚本里加上一句:
   su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"

   这样系统重启后,也会自动用mysqladmin用户启动mysql进程。

7、日志文件及上传目录的审核及

   查看日志和人的惰性有很大关系,要从那么大的日志文件里查找攻击痕迹有些大海捞针,而且也未必有。 web上传的目录里的文件,也应该经常检查,也许
   程序有问题,用户传上了一些非法的文件,比如执行脚本等。

8、操作系统自身的补丁

   一样,给系统打已知漏洞的补丁是系统管理员最基本的职责,这也是最后一道防线。

经过以上的配置,虽然说不上固若金汤,但是也在相当程度上给攻击者的测试造成很多麻烦,即使php脚本程序出现比较严重的漏洞,攻击者也无法造成实际性的破坏。如果您还有更古怪,更变态的配置方法,希望能一起分享分享;)

PHP 相关文章推荐
十天学会php之第二天
Oct 09 PHP
队列在编程中的实际应用(php)
Sep 04 PHP
php全排列递归算法代码
Oct 09 PHP
destoon会员注册提示“数据校验失败(2)”解决方法
Jun 21 PHP
什么是PEAR?什么是PECL?PHP中两个容易混淆的概念解释
Jul 01 PHP
学习php设计模式 php实现备忘录模式(Memento)
Dec 09 PHP
PHP文件上传操作实例详解
Sep 27 PHP
Laravel中encrypt和decrypt的实现方法
Sep 24 PHP
浅谈PHPANALYSIS提取关键字
Mar 08 PHP
PHP大文件切割上传并带进度条功能示例
Jul 01 PHP
TP5框架实现的数据库备份功能示例
Apr 05 PHP
PHP vsprintf()函数格式化字符串操作原理解析
Jul 14 PHP
用Zend Encode编写开发PHP程序
Oct 09 #PHP
在php中使用sockets:从新闻组中获取文章
Oct 09 #PHP
15个小时----从修改程序到自己些程序
Oct 09 #PHP
用PHP编程开发“虚拟域名”系统
Oct 09 #PHP
在Windows中安装Apache2和PHP4的权威指南
Oct 09 #PHP
自定义PHP分页函数
Oct 09 #PHP
用PHP实现WEB动态网页静态
Oct 09 #PHP
You might like
PHP 开发工具
2006/12/06 PHP
php基于闭包实现函数的自调用(递归)实例分析
2016/11/11 PHP
thinkphp5.1 文件引入路径问题及注意事项
2018/06/13 PHP
PHP通过get方法获得form表单数据方法总结
2018/09/12 PHP
浏览器常用高宽的jquery插件
2011/02/24 Javascript
深入理解JavaScript中的传值与传引用
2013/12/09 Javascript
BOOTSTRAP时间控件显示在模态框下面的bug修复
2015/02/05 Javascript
Hallo.js基于jQuery UI所见即所得的Web编辑器
2016/01/26 Javascript
jQuery设置聚焦并使光标位置在文字最后的实现方法
2016/08/02 Javascript
AngularJS中比较两个数组是否相同
2016/08/24 Javascript
在JavaScript中调用Java类和接口的方法
2016/09/07 Javascript
jQuery实现二维码扫描功能
2017/01/09 Javascript
Vue+jquery实现表格指定列的文字收缩的示例代码
2018/01/09 jQuery
一个小时快速搭建微信小程序的方法步骤
2019/04/15 Javascript
微信小程序onShareTimeline()实现分享朋友圈
2021/01/07 Javascript
[47:22]Mineski vs Winstrike 2018国际邀请赛小组赛BO2 第二场 8.16
2018/08/17 DOTA
wxPython中listbox用法实例详解
2015/06/01 Python
Python中使用插入排序算法的简单分析与代码示例
2016/05/04 Python
python中的lambda表达式用法详解
2016/06/22 Python
Python中pip更新和三方插件安装说明
2018/07/08 Python
python 递归深度优先搜索与广度优先搜索算法模拟实现
2018/10/22 Python
pandas去除重复列的实现方法
2019/01/29 Python
代码实例讲解python3的编码问题
2019/07/08 Python
基于Python2、Python3中reload()的不同用法介绍
2019/08/12 Python
Django通用类视图实现忘记密码重置密码功能示例
2019/12/17 Python
Python实现代码块儿折叠
2020/04/15 Python
Reformation官网:美国女装品牌
2018/09/14 全球购物
N.Peal官网:来自伦敦的高档羊绒品牌
2018/10/29 全球购物
使用useBean标志初始化BEAN时如何接受初始化参数
2012/02/11 面试题
大学生实习证明范本
2014/01/15 职场文书
《北大荒的秋天》教学反思
2014/04/14 职场文书
2014年志愿者工作总结
2014/11/20 职场文书
公司人事任命通知
2015/04/20 职场文书
春风化雨观后感
2015/06/11 职场文书
职场新人知识:如何制定一份合理的工作计划?
2019/09/11 职场文书
详解NodeJS模块化
2021/06/15 NodeJs