程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP綜合 >> 通過對服務器端特性的配置加強php的安全

通過對服務器端特性的配置加強php的安全

編輯:PHP綜合
作者:san < [email protected] >
主頁:http://www.nsfocus.com
日期:2001-11-15

    前面象Shaun Clowes和rfp等都比較詳細的介紹了php、cgi程序在編程過程中遇到 的問題,以及如何通過應用程序漏洞突破系統,這篇文章我們來通過對php的一些服務器端特性來進行配置加強php的安全。寫 cgi腳本的時候我們的確一定注意各種安全問題,對用戶輸入進行嚴格的過濾,但是常在岸邊走哪有不濕鞋 ,吃燒餅哪有不掉芝麻,人有失蹄馬有失手,連著名的phpnuke、phpMyAdmin等程序都出現過很嚴重的 問題,更何況象我等小混混寫的腳本。所以現在我們假設php腳本已經出現嚴重問題,比如象前一陣子 phpnuke的可以上傳php腳本的大問題了,我們如何通過對服務器的配置使腳本出現如此問題也不能突破 系統。

1、編譯的時候注意補上已知的漏洞

   從4.0.5開始,php的mail函數加入了第五個參數,但它沒有好好過濾,使得php   應用程序能突破safe_mode的限制而去執行命令。所以使用4.0.5和4.0.6的時候   在編譯前我們需要修改php源碼包裡
   ext/standard/mail.c文件,禁止mail函數的第五參數或過濾shell字符。在mail.c
   文件的第152行,也就是下面這行:
   if (extra_cmd != NULL) {
   後面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);
   然後編譯php,那麼我們就修補了這個漏洞。

2、修改php.ini配置文件

   以php發行版的php.ini-dist為藍本進行修改。
   1)Error handling and logging
     在Error handling and logging部分可以做一些設定。先找到:
     display_errors = On
     php缺省是打開錯誤信息顯示的,我們把它改為:
     display_errors = Off

     關閉錯誤顯示後,php函數執行錯誤的信息將不會再顯示給用戶,這樣能在一
     定程度上防止攻擊者從錯誤信息得知腳本的物理位置,以及一些其它有用的     信息,起碼給攻擊者的黑箱檢測造成一定的障礙 。這些錯誤信息可能對我們 自己有用,可以讓它寫到指定文件中去,那麼修改以下:
     log_errors = Off
     改為:
     log_errors = On

     以及指定文件,找到下面這行:
     ;error_log = filename
     去掉前面的;注釋,把filename改為指定文件,如
     /usr/local/apache/logs/php_error.log

     error_log = /usr/local/apache/logs/php_error.log
     這樣所有的錯誤都會寫到php_error.log文件裡。

   2)Safe Mode

     php的safe_mode功能對很多函數進行了限制或禁用了,能在很大程度解決php的
     安全問題。在Safe Mode部分找到:
     safe_mode = Off
     改為:
     safe_mode = On

     這樣就打開了safe_mode功能。象一些能執行系統命令的函數shell_exec()和``     被禁止,其它的一些執行函數如:exec(), system(), passthru(), popen()     將被限制只能執行safe_mode_exec_dir指定目錄下的程序。如果你實在是要 執行一些命令或程序,找到以下:
     safe_mode_exec_dir =
     指定要執行的程序的路徑,如:
     safe_mode_exec_dir = /usr/local/php/exec

     然後把要用的程序拷到/usr/local/php/exec目錄下,這樣,象上面的被限制
     的函數還能執行該目錄裡的程序。

     關於安全模式下受限函數的詳細信息請查看php主站的說明:
     http://www.php.net/manual/en/features.safe-mode.php

   3)disable_functions

     如果你對一些函數的危害性不太清楚,而且也沒有使用,索性把這些函數禁
     止了。找到下面這行:
     disable_functions =
     在”=“後面加上要禁止的函數,多個函數用”,“隔開。

3、修改httpd.conf

   如果你只允許你的php腳本程序在web目錄裡操作,還可以修改httpd.conf文件限 制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那麼在
   httpd.conf裡加上這麼幾行:

   <Directory /usr/local/apache/htdocs>
     php_admin_value open_basedir /usr/local/apache/htdocs
   </Directory>

   這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,
   如果錯誤顯示打開的話

   會提示這樣的錯誤:
   Warning: open_basedir restriction in effect. File is in wrong directory in
   /usr/local/apache/htdocs/open.php on line 4
   等等。

4、對php代碼進行編譯

   Zend對php的貢獻很大,php4的引擎就是用Zend的,而且它還開發了ZendOptimizer
   和ZendEncode等許多php的加強組件。優化器ZendOptimizer只需在
   http://www.zend.com注冊就可以免費得到,下面幾個是用於4.0.5和4.0.6的
   ZendOptimizer,文件名分別對於各自的系統:

   ZendOptimizer-1[1].1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Solaris-sparc.tar.gz
   ZendOptimizer-1[1].1.0-PHP_4.0.5-Windows-i386.zip


   優化器的安裝非常方便,包裡面都有詳細的說明。以UNIX版本的為例,看清操
   作系統,把包裡的ZendOptimizer.so文件解壓到一個目錄,假設是/usr/local/lib
   下,在php.ini裡加上兩句:
   zend_optimizer.optimization_level=15
   zend_extension="/usr/local/lib/ZendOptimizer.so"

   就可以了。用phpinfo()看到Zend圖標左邊有下面文字:
   with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies

   那麼,優化器已經掛接成功了。
   但是編譯器ZendEncode並不是免費的,這裡提供給大家一個
   http://www.PHPease.com的馬勇設計的編譯器外殼,如果用於商業目的,請與
   http://www.zend.com聯系取得許可協議。

   php腳本編譯後,腳本的執行速度增加不少,腳本文件只能看到一堆亂碼,這將
   阻止攻擊者進一步分析服務器上的腳本程序,而且原先在php腳本裡以明文存儲
   的口令也得到了保密,如mysql的口令。不過在服務器端改腳本就比較麻煩了,
   還是本地改好再上傳吧。


5、文件及目錄的權限設置

   web目錄裡除了上傳目錄,其它的目錄和文件的權限一定不能讓nobody用戶有寫
   權限。否則,攻擊者可   以修改主頁文件,所以web目錄的權限一定要設置好
   。 還有,php腳本的屬主千萬不能是root,因為safe_mode下讀文件的函數被限
   制成被讀文件的屬主必須   和當前執行腳本的屬主是一樣才能被讀,否則如果
   錯誤顯示打開的話會顯示諸如以下的錯誤:

   Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
   allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php
   on line 3
   這樣我們能防止許多系統文件被讀,比如:/etc/passwd等。

   上傳目錄和上傳腳本的屬主也要設成一樣,否則會出現錯誤的,在safe_mode下
   這些要注意。

6、mysql的啟動權限設置


   mysql要注意的是不要用root來啟動,最好另外建一個mysqladm用戶。可以在
   /etc/rc.local等系統啟動腳本裡加上一句:
   su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"

   這樣系統重啟後,也會自動用mysqladmin用戶啟動mysql進程。

7、日志文件及上傳目錄的審核及

   查看日志和人的惰性有很大關系,要從那麼大的日志文件裡查找攻擊痕跡有些大海撈針,而且也未必有。 web上傳的目錄裡的文件,也應該經常檢查,也許
   程序有問題,用戶傳上了一些非法的文件,比如執行腳本等。

8、操作系統自身的補丁

   一樣,給系統打已知漏洞的補丁是系統管理員最基本的職責,這也是最後一道防線。


經過以上的配置,雖然說不上固若金湯,但是也在相當程度上給攻擊者的測試造成很多麻煩,即使php腳本程序出現比較嚴重的漏洞,攻擊者也無法造成實際性的破壞。如果您還有更古怪,更變態的配置方法,希望能一起分享分享;)

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved