20180601

6月1日任务
11.28 限定某个目录禁止解析php
11.29 限制user_agent
11.30/11.31 php相关配置
扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

1. 限定某个目录禁止解析php

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
核心配置文件内容
增加

    <Directory /data/wwwroot/www.123.com/upload>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)> # 限制文件访问, 防止php源码泄露
        Order allow,deny
        Deny from all
        </FilesMatch>

    </Directory>


测试并重启服务

curl测试
curl -x192.168.2.100:80 www.123.com/upload/1.php
直接返回了php源代码,并未解析
之前的:

之后的:

2. 限制user_agent

核心配置文件内容

  <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
        RewriteRule .* - [F]
    </IfModule>

NC: 不区分大小写
OR: 逻辑或
[F]: 规则为forbidden

测试并重启服务
curl -x192.168.2.100:80 www.123.com/upload/1.php 显示403
curl -A "123123"-x192.168.2.100:80 www.123.com/upload/1.php通过指定user_agent测试, 正常访问

3. php相关配置

3.1 查看php配置文件位置

/usr/local/php7/bin/php -i|grep -i "loaded configuration file"
或者phpinfo

3.2 禁用函数 disable_functions

vim /usr/local/php7/etc/php.ini
搜索disable_functions
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

有些企业也禁掉phpinfo

时区 & 错误日志

vim /usr/local/php7/etc/php.ini, 搜索对应项更改
date.timezone = Asia/Shanghai
display_errors = Off
log_errors = On
error_log = /tmp/php_errors.log
error_reporting = E_ALL & ~E_NOTICE
touch /tmp/php_errors.log; chmod 777 /tmp/php_errors.log

open_basedir = /data/wwwroot/123.com:/tmp
php.ini中是针对所有站点

单独站点去虚拟主机配置文件设置
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

未经允许不得转载:外贸SOHO笔记 » 20180601

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下作者~

支付宝扫一扫打赏

微信扫一扫打赏