6月1日任务

11.28 限定某个目录禁止解析php
11.29 限制user_agent
11.30/11.31 php相关配置
扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

11.28 限定某个目录禁止解析php

所谓禁止PHP解析,是为了防止被黑客攻击和上传一些恶意文件盗取资料,所以有必要设置指定的目录禁止解析PHP。

编辑虚拟主机配置文件vhosts.conf,添加以下内容。

重新加载配置文件,然后创建一个upload目录,并使用curl命令进行测试。

可以在配置文件中加上#注释掉不需要的内容,看看禁止解析PHP的效果。

可以把刚才配置文件中带注释的#删除掉,这样就可以做进一步的限制,在浏览器中连访问都不提供,直接显示forbidden。

可写的目录比如上传图片的目录,都是不需要解析PHP的,一般静态文件所存放的目录,是不允许放PHP的。

11.29 限制user_agent

user_agent可以理解为浏览器标识,编辑虚拟主机配置文件vhosts.conf,添加以下内容。

测试查看结果,所访问的地址直接提示403状态码forbidden。

也可以通过日志查看user_agent

如何判定就是因为做了限制user_agent,可以通过curl -A自定义指定user_agent,然后再测试就会显示200可以访问的状态码。

同样也可以通过日志查看到刚才自定义的user_agent为jimmy123 jimmy123

11.30/11.31 php相关配置

查看PHP配置文件路径,编辑PHP文件添加phpinfo,然后在浏览器页面就可以查看到php的配置文件路径。

浏览器输入http://111.com/index.php 就可以看到PHP相关的信息。 

如果配置文件没有加载,执行以下命令可以加载配置文件。

这个时候再刷新浏览器就可以看到配置文件已经加载 

找到php.ini文件后,我们可以做一些配置去限定disable_functions安全函数,如果把一些危险的函数添加到配置文件中,就可以起到限制作用,达到更加安全的效果。 常见的危险函数有:eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

甚至还可以把phpinfo一起被禁用,在浏览器连phpinfo都无法访问查看。 

date.timezone 定义时区,如果不定义的话,有时候会有报错信息。

刚才能够在浏览器看到phpinfo信息被禁用,而且信息内容直接显示到浏览器,如果把display_errors = Off 浏览器就不会显示任何内容,而是完全空白页面。

没有任何的输出,因为是一个空白页。

如果display_errors = Off没有任何输出,我们无法看到有什么问题,所以需要设置一个错误日志方便查看。

已经在指定目录生成php_errors.log

可以在模拟一个错误

这个时候使用curl访问也同样是一个空白页,只不过报错状态码是500,也可以查看日志级别会比上一个级别高,这个级别是error,上一个是Warning。

open_basedir 的作用:例如有2个网站,A网站A目录和B网站B目录,如果被黑客攻击了,没有设置open_basedir的话,很容易被渗透到其他目录,一旦设置了open_basedir,就即便是A网站被黑了只最多只是A目录受到影响,而B网站是不会被影响到的,因为没有权限访问根本进不去,所以设置open_basedir进行限制也是非常有必要的,在配置文件vim /usr/local/php7/etc/php.ini 中设置。

curl访问会报错500,即便是把2.php修改成正确的语法内容,也一样会报500状态码,因为并没有给2.php做允许访问。

修改成正确的路径,就可以访问了。

如果服务器上跑了很多个站点,就只是限制在这个目录下,就没有意义了,在这个目录下的网站都可以来去自如,这样就不太合适了,应该针对这个站点去做open_basedir,那么在php.ini里面是做不到了,但是可以在虚拟主机配置文件vhosts.conf里去做,对不同的虚拟主机做不同的open_basedir,增加这样的语句就行了。 php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp/"

限定某个目录禁止解析php、限制user_agent、php相关配置的更多相关文章

  1. 限定某个目录禁止解析php 限制user_agent php相关配置

  2. 限定某个目录禁止解析php 、限制user_agent 、php的配制文件、PHP的动态扩展模块

    1. 限定某个目录禁止解析php(有些目录用户可以上传文件或图片,可能会被恶意者上传其它文件):编辑:/usr/local/apache2.4/conf/extra/httpd-vhosts.conf ...

  3. Linux centosVMware apache 限定某个目录禁止解析php、限制user_agent、php相关配置

    一.限定某个目录禁止解析php 核心配置文件内容 vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 先创建.编辑一个php 配置 vim /u ...

  4. 如何让你的Apache支持include文件解析和支持shtml的相关配置

    源地址:http://www.itokit.com/2011/0430/65992.html Apache支持include文件解析shtml首先要应该修改Apache配置文件httpd.conf . ...

  5. LAMP 2.5 Apache禁止解析php

    某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,比如某些目录可以上传文件, 为了避免上传的文件有木马, 所以我们禁止这个目录下面的访问解析 php. 安装目录下有个data ...

  6. Apache配置 10. 访问控制-禁止解析PHP

    (1)简述 对于使用PHP语言编写的网站,有一些目录是有需求上传文件的.如果网站代码有漏洞,让黑客上传了一个用PHP写的木马,由于网站可以执行PHP程序,最终会让黑客拿到服务器权限. 为了避免这种情况 ...

  7. iOS沙盒目录结构解析

    iOS沙盒目录结构解析 原文地址:http://blog.csdn.net/wzzvictory/article/details/18269713     出于安全考虑,iOS系统的沙盒机制规定每个应 ...

  8. QT正则表达式学习(Windows目录禁止九个字符)

    exp 正则表达式30分钟入门教程 http://deerchao.net/tutorials/regex/regex.htm 元字符 .*^\d\b\s,当然还有\,还有中括号[] .是一个元字符, ...

  9. InfluxDB源码目录结构解析

    操作系统 : CentOS7.3.1611_x64 go语言版本:1.8.3 linux/amd64 InfluxDB版本:1.1.0 influxdata主目录结构 [root@localhost ...

随机推荐

  1. .NET Core 3.1 编写混合 C++ 程序

    前言 随着 .NET Core 3.1 的第二个预览版本发布,微软正式将 C++/CLI 移植到 .NET Core 上,从此可以使用 C++ 编写 .NET Core 的程序了. 由于目前仅有 MS ...

  2. 在虚拟机上的关于Apache(阿帕奇)(2)开启个人用户主页功能

    首先下载httpd服务 在这里我们主要谈一谈个人主页功能分为不加密和加密两种 不加密 我们先来建立几个用户,使用命令:useradd  longshisan 使用命令:   Passwd  longs ...

  3. 基于node的前端项目代码包发布至nexus

    目录 目录... 3 1. 前言... 1 2. 配置... 1 2.1. 配置angular.json文件... 1 2.2. 配置package.json文件... 1 2.3. 复制git地址. ...

  4. Linux的中断可以嵌套吗?

    本文系转载,著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 来源: 微信公众号linux阅码场(id: linuxdev) 问答 问:Linux的中断可以嵌套吗? 答:以前是可以 ...

  5. .net里面<app.config>中value值不能填写特殊符号问题

    配置app.config或web.config的时候,经常要填写value值, 但是value值不能包含特殊字符,需要转义, 分享一下转义字符 App.config 实际上是 xml 文件,在标准 x ...

  6. CDQ分治(学习笔记)

    离线算法——CDQ分治 CDQ (SHY)显然是一个人的名字,陈丹琪(MM)(NOI2008金牌女选手). 从归并开始(这里并没有从逆序对开始,是想直接引入分治思想,而不是引入处理对象) 一个很简单的 ...

  7. Unix/Linux 从哪儿来?那些改变世界的人们...

    昨天看文章时发现自己对 linux 操作系统不够了解,还记得 17 年时听过老师的一些课,对 linux 的历史有一点了解,不过当时并没有记录笔记,现在已经忘的差不多了. 这次从网上找资料,又重新看了 ...

  8. Linux基础命令(二)

    6.cp copy 作用:复制文件 选项: -a 复制目录时使用并且可以保持属性不变,属性:属主,属组,权限 -r 复制目录时使用但是不可以保持属性不变 -p 保持属性不变 注意:其实只需要记一个-a ...

  9. MySQL系列:MySQL的基本使用

    数据库的基本操作 在MySQL数据库中,对于一个MySQL示例,是可以包含多个数据库的. 在连接MySQL后,我们可以通过 show databases; 来进行查看有那么数据库.这里已经存在一些库了 ...

  10. C语言|博客作业05

    这个作业属于哪个课程 C语言程序设计II 这个作业的要求在哪里 https://edu.cnblogs.com/campus/zswxy/CST2019-1/homework/9825 我在这个课程的 ...