通过对服务器端特性的配置加强php的安全


Posted in PHP onOctober 09, 2006

作者:san < xuzhikun@nsfocus.com >
主页:http://www.nsfocus.com
日期:2001-11-15

    前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到 的问题,以及如何通过应用程序漏洞突破系统,这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写 cgi脚本的时候我们的确一定注意各种安全问题,对用户输入进行严格的过滤,但是常在岸边走哪有不湿鞋 ,吃烧饼哪有不掉芝麻,人有失蹄马有失手,连著名的phpnuke、phpMyAdmin等程序都出现过很严重的 问题,更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题,比如象前一阵子 phpnuke的可以上传php脚本的大问题了,我们如何通过对服务器的配置使脚本出现如此问题也不能突破 系统。

1、编译的时候注意补上已知的漏洞

   从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php   应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候   在编译前我们需要修改php源码包里
   ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c
   文件的第152行,也就是下面这行:
   if (extra_cmd != NULL) {
   后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);
   然后编译php,那么我们就修补了这个漏洞。

2、修改php.ini配置文件

   以php发行版的php.ini-dist为蓝本进行修改。
   1)Error handling and logging
     在Error handling and logging部分可以做一些设定。先找到:
     display_errors = On
     php缺省是打开错误信息显示的,我们把它改为:
     display_errors = Off

     关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一
     定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的     信息,起码给攻击者的黑箱检测造成一定的障碍 。这些错误信息可能对我们 自己有用,可以让它写到指定文件中去,那么修改以下:
     log_errors = Off
     改为:
     log_errors = On

     以及指定文件,找到下面这行:
     ;error_log = filename
     去掉前面的;注释,把filename改为指定文件,如
     /usr/local/apache/logs/php_error.log

     error_log = /usr/local/apache/logs/php_error.log
     这样所有的错误都会写到php_error.log文件里。

   2)Safe Mode

     php的safe_mode功能对很多函数进行了限制或禁用了,能在很大程度解决php的
     安全问题。在Safe Mode部分找到:
     safe_mode = Off
     改为:
     safe_mode = On

     这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和``     被禁止,其它的一些执行函数如:exec(), system(), passthru(), popen()     将被限制只能执行safe_mode_exec_dir指定目录下的程序。如果你实在是要 执行一些命令或程序,找到以下:
     safe_mode_exec_dir =
     指定要执行的程序的路径,如:
     safe_mode_exec_dir = /usr/local/php/exec

     然后把要用的程序拷到/usr/local/php/exec目录下,这样,象上面的被限制
     的函数还能执行该目录里的程序。

     关于安全模式下受限函数的详细信息请查看php主站的说明:
     http://www.php.net/manual/en/features.safe-mode.php

   3)disable_functions

     如果你对一些函数的危害性不太清楚,而且也没有使用,索性把这些函数禁
     止了。找到下面这行:
     disable_functions =
     在”=“后面加上要禁止的函数,多个函数用”,“隔开。

3、修改httpd.conf

   如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限 制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在
   httpd.conf里加上这么几行:

   <Directory /usr/local/apache/htdocs>
     php_admin_value open_basedir /usr/local/apache/htdocs
   </Directory>

   这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,
   如果错误显示打开的话

   会提示这样的错误:
   Warning: open_basedir restriction in effect. File is in wrong directory in
   /usr/local/apache/htdocs/open.php on line 4
   等等。

4、对php代码进行编译

   Zend对php的贡献很大,php4的引擎就是用Zend的,而且它还开发了ZendOptimizer
   和ZendEncode等许多php的加强组件。优化器ZendOptimizer只需在
   http://www.zend.com注册就可以免费得到,下面几个是用于4.0.5和4.0.6的
   ZendOptimizer,文件名分别对于各自的系统:

   ZendOptimizer-1[1].1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Solaris-sparc.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Windows-i386.zip

   优化器的安装非常方便,包里面都有详细的说明。以UNIX版本的为例,看清操
   作系统,把包里的ZendOptimizer.so文件解压到一个目录,假设是/usr/local/lib
   下,在php.ini里加上两句:
   zend_optimizer.optimization_level=15
   zend_extension="/usr/local/lib/ZendOptimizer.so"

   就可以了。用phpinfo()看到Zend图标左边有下面文字:
   with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies

   那么,优化器已经挂接成功了。
   但是编译器ZendEncode并不是免费的,这里提供给大家一个
   http://www.PHPease.com的马勇设计的编译器外壳,如果用于商业目的,请与
   http://www.zend.com联系取得许可协议。

   php脚本编译后,脚本的执行速度增加不少,脚本文件只能看到一堆乱码,这将
   阻止攻击者进一步分析服务器上的脚本程序,而且原先在php脚本里以明文存储
   的口令也得到了保密,如mysql的口令。不过在服务器端改脚本就比较麻烦了,
   还是本地改好再上传吧。

5、文件及目录的权限设置

   web目录里除了上传目录,其它的目录和文件的权限一定不能让nobody用户有写
   权限。否则,攻击者可   以修改主页文件,所以web目录的权限一定要设置好
   。 还有,php脚本的属主千万不能是root,因为safe_mode下读文件的函数被限
   制成被读文件的属主必须   和当前执行脚本的属主是一样才能被读,否则如果
   错误显示打开的话会显示诸如以下的错误:

   Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
   allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php
   on line 3
   这样我们能防止许多系统文件被读,比如:/etc/passwd等。

   上传目录和上传脚本的属主也要设成一样,否则会出现错误的,在safe_mode下
   这些要注意。

6、mysql的启动权限设置

   mysql要注意的是不要用root来启动,最好另外建一个mysqladm用户。可以在
   /etc/rc.local等系统启动脚本里加上一句:
   su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"

   这样系统重启后,也会自动用mysqladmin用户启动mysql进程。

7、日志文件及上传目录的审核及

   查看日志和人的惰性有很大关系,要从那么大的日志文件里查找攻击痕迹有些大海捞针,而且也未必有。 web上传的目录里的文件,也应该经常检查,也许
   程序有问题,用户传上了一些非法的文件,比如执行脚本等。

8、操作系统自身的补丁

   一样,给系统打已知漏洞的补丁是系统管理员最基本的职责,这也是最后一道防线。

经过以上的配置,虽然说不上固若金汤,但是也在相当程度上给攻击者的测试造成很多麻烦,即使php脚本程序出现比较严重的漏洞,攻击者也无法造成实际性的破坏。如果您还有更古怪,更变态的配置方法,希望能一起分享分享;)

PHP 相关文章推荐
php数组总结篇(一)
Sep 30 PHP
怎么在Windows系统中搭建php环境
Aug 31 PHP
php实现的百度搜索某地天气的小偷代码
Apr 23 PHP
PHP中IP地址与整型数字互相转换详解
Aug 20 PHP
在PHP程序中使用Rust扩展的方法
Jul 03 PHP
54个提高PHP程序运行效率的方法
Jul 19 PHP
适用于初学者的简易PHP文件上传类
Oct 29 PHP
PHP的时间戳与具体时间转化的简单实现
Jun 13 PHP
微信公众平台开发(五) 天气预报功能开发
Dec 03 PHP
php获取微信共享收货地址的方法
Dec 21 PHP
php 函数中静态变量使用的问题实例分析
Mar 05 PHP
浅谈PHP中的那些魔术常量
Dec 02 PHP
用Zend Encode编写开发PHP程序
Oct 09 #PHP
在php中使用sockets:从新闻组中获取文章
Oct 09 #PHP
15个小时----从修改程序到自己些程序
Oct 09 #PHP
用PHP编程开发“虚拟域名”系统
Oct 09 #PHP
在Windows中安装Apache2和PHP4的权威指南
Oct 09 #PHP
自定义PHP分页函数
Oct 09 #PHP
用PHP实现WEB动态网页静态
Oct 09 #PHP
You might like
php下使用curl模拟用户登陆的代码
2010/09/10 PHP
PHP实现多文件上传的方法
2015/07/08 PHP
php实现编辑和保存文件的方法
2015/07/20 PHP
php基础教程
2015/08/26 PHP
PHP排序算法之快速排序(Quick Sort)及其优化算法详解
2018/04/21 PHP
javascript 页面只自动刷新一次
2009/07/10 Javascript
JavaScript arguments 多参传值函数
2010/10/24 Javascript
jQuery1.6 正式版发布并提供下载
2011/05/05 Javascript
jQuery解决下拉框select设宽度时IE 6/7/8下option超出显示不全
2013/05/27 Javascript
js实现简单的左右两边固定广告效果实例
2015/04/10 Javascript
jquery Deferred 快速解决异步回调的问题
2016/04/05 Javascript
bootstrap中使用google prettify让代码高亮的方法
2016/10/21 Javascript
js中小数向上取整数,向下取整数,四舍五入取整数的实现(必看篇)
2017/02/13 Javascript
NodeJs使用Mysql模块实现事务处理实例
2017/05/31 NodeJs
vue2实现可复用的轮播图carousel组件详解
2017/11/27 Javascript
Python列表生成器的循环技巧分享
2015/03/06 Python
python基于右递归解决八皇后问题的方法
2015/05/25 Python
Python函数返回值实例分析
2015/06/08 Python
django轻松使用富文本编辑器CKEditor的方法
2017/03/30 Python
python3实现163邮箱SMTP发送邮件
2018/05/22 Python
Python微医挂号网医生数据抓取
2019/01/24 Python
简单了解Python读取大文件代码实例
2019/12/18 Python
Python 使用threading+Queue实现线程池示例
2019/12/21 Python
关于Tensorflow 模型持久化详解
2020/02/12 Python
解决flask接口返回的内容中文乱码的问题
2020/04/03 Python
使用TensorBoard进行超参数优化的实现
2020/07/06 Python
解决pycharm修改代码后第一次运行不生效的问题
2021/02/06 Python
美国网上眼镜商城:Zenni Optical
2016/11/20 全球购物
英国最专业的健身器材供应商之一:Best Gym Equipment
2017/12/22 全球购物
香港万宁官方海外旗舰店:香港健与美连锁店
2018/09/27 全球购物
如何设置Java的运行环境
2013/04/05 面试题
shell变量的作用空间是什么
2013/08/17 面试题
20年同学聚会感言
2014/02/03 职场文书
年会主持词结束语
2014/03/27 职场文书
大学生党校培训心得体会
2014/09/11 职场文书
2014年学校财务工作总结
2014/12/06 职场文书