6月1日任务

11.28 限定某个目录禁止解析php
11.29 限制user_agent
11.30/11.31 php相关配置
扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

11.28 限定某个目录禁止解析php

所谓禁止PHP解析,是为了防止被黑客攻击和上传一些恶意文件盗取资料,所以有必要设置指定的目录禁止解析PHP。

编辑虚拟主机配置文件vhosts.conf,添加以下内容。

重新加载配置文件,然后创建一个upload目录,并使用curl命令进行测试。

可以在配置文件中加上#注释掉不需要的内容,看看禁止解析PHP的效果。

可以把刚才配置文件中带注释的#删除掉,这样就可以做进一步的限制,在浏览器中连访问都不提供,直接显示forbidden。

可写的目录比如上传图片的目录,都是不需要解析PHP的,一般静态文件所存放的目录,是不允许放PHP的。

11.29 限制user_agent

user_agent可以理解为浏览器标识,编辑虚拟主机配置文件vhosts.conf,添加以下内容。

测试查看结果,所访问的地址直接提示403状态码forbidden。

也可以通过日志查看user_agent

如何判定就是因为做了限制user_agent,可以通过curl -A自定义指定user_agent,然后再测试就会显示200可以访问的状态码。

同样也可以通过日志查看到刚才自定义的user_agent为jimmy123 jimmy123

11.30/11.31 php相关配置

查看PHP配置文件路径,编辑PHP文件添加phpinfo,然后在浏览器页面就可以查看到php的配置文件路径。

浏览器输入http://111.com/index.php 就可以看到PHP相关的信息。 

如果配置文件没有加载,执行以下命令可以加载配置文件。

这个时候再刷新浏览器就可以看到配置文件已经加载 

找到php.ini文件后,我们可以做一些配置去限定disable_functions安全函数,如果把一些危险的函数添加到配置文件中,就可以起到限制作用,达到更加安全的效果。 常见的危险函数有:eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

甚至还可以把phpinfo一起被禁用,在浏览器连phpinfo都无法访问查看。 

date.timezone 定义时区,如果不定义的话,有时候会有报错信息。

刚才能够在浏览器看到phpinfo信息被禁用,而且信息内容直接显示到浏览器,如果把display_errors = Off 浏览器就不会显示任何内容,而是完全空白页面。

没有任何的输出,因为是一个空白页。

如果display_errors = Off没有任何输出,我们无法看到有什么问题,所以需要设置一个错误日志方便查看。

已经在指定目录生成php_errors.log

可以在模拟一个错误

这个时候使用curl访问也同样是一个空白页,只不过报错状态码是500,也可以查看日志级别会比上一个级别高,这个级别是error,上一个是Warning。

open_basedir 的作用:例如有2个网站,A网站A目录和B网站B目录,如果被黑客攻击了,没有设置open_basedir的话,很容易被渗透到其他目录,一旦设置了open_basedir,就即便是A网站被黑了只最多只是A目录受到影响,而B网站是不会被影响到的,因为没有权限访问根本进不去,所以设置open_basedir进行限制也是非常有必要的,在配置文件vim /usr/local/php7/etc/php.ini 中设置。

curl访问会报错500,即便是把2.php修改成正确的语法内容,也一样会报500状态码,因为并没有给2.php做允许访问。

修改成正确的路径,就可以访问了。

如果服务器上跑了很多个站点,就只是限制在这个目录下,就没有意义了,在这个目录下的网站都可以来去自如,这样就不太合适了,应该针对这个站点去做open_basedir,那么在php.ini里面是做不到了,但是可以在虚拟主机配置文件vhosts.conf里去做,对不同的虚拟主机做不同的open_basedir,增加这样的语句就行了。 php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp/"

限定某个目录禁止解析php、限制user_agent、php相关配置的更多相关文章

  1. 限定某个目录禁止解析php 限制user_agent php相关配置

  2. 限定某个目录禁止解析php 、限制user_agent 、php的配制文件、PHP的动态扩展模块

    1. 限定某个目录禁止解析php(有些目录用户可以上传文件或图片,可能会被恶意者上传其它文件):编辑:/usr/local/apache2.4/conf/extra/httpd-vhosts.conf ...

  3. Linux centosVMware apache 限定某个目录禁止解析php、限制user_agent、php相关配置

    一.限定某个目录禁止解析php 核心配置文件内容 vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 先创建.编辑一个php 配置 vim /u ...

  4. 如何让你的Apache支持include文件解析和支持shtml的相关配置

    源地址:http://www.itokit.com/2011/0430/65992.html Apache支持include文件解析shtml首先要应该修改Apache配置文件httpd.conf . ...

  5. LAMP 2.5 Apache禁止解析php

    某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,比如某些目录可以上传文件, 为了避免上传的文件有木马, 所以我们禁止这个目录下面的访问解析 php. 安装目录下有个data ...

  6. Apache配置 10. 访问控制-禁止解析PHP

    (1)简述 对于使用PHP语言编写的网站,有一些目录是有需求上传文件的.如果网站代码有漏洞,让黑客上传了一个用PHP写的木马,由于网站可以执行PHP程序,最终会让黑客拿到服务器权限. 为了避免这种情况 ...

  7. iOS沙盒目录结构解析

    iOS沙盒目录结构解析 原文地址:http://blog.csdn.net/wzzvictory/article/details/18269713     出于安全考虑,iOS系统的沙盒机制规定每个应 ...

  8. QT正则表达式学习(Windows目录禁止九个字符)

    exp 正则表达式30分钟入门教程 http://deerchao.net/tutorials/regex/regex.htm 元字符 .*^\d\b\s,当然还有\,还有中括号[] .是一个元字符, ...

  9. InfluxDB源码目录结构解析

    操作系统 : CentOS7.3.1611_x64 go语言版本:1.8.3 linux/amd64 InfluxDB版本:1.1.0 influxdata主目录结构 [root@localhost ...

随机推荐

  1. Spring AOP 知识整理

    通过一个多月的 Spring AOP 的学习,掌握了 Spring AOP 的基本概念.AOP 是面向切面的编程(Aspect-Oriented Programming),是基于 OOP(面向对象的编 ...

  2. MIT线性代数:17.正交矩阵和Cram-Schmidt正交化

  3. Java学习总结之方法重载和方法重写

    在学习方法的阶段我学习了方法重载(Overload),而在学习面向对象三大特性之继承的时候我又学习了方法重写(Override).   概念: 方法重载:在同一个类中,允许存在一个以上的同名方法,只要 ...

  4. FastDFS图片服务器单机安装步骤

    前面已经讲 一张图秒懂微服务的网络架构,通过此文章可以了解FastDFS组件中单机安装流程. 单机版架构图 以下为单机FastDFS安装步骤 一.环境准备 CentOS 7.X libfastcomm ...

  5. echarts动态刷新数据

    在这次的项目中图表显示的部分比较多,这边给分享下用到的图表的数据刷新 饼图最后的效果 先看下 前端部分 <div div style="height: 40%; width: 17.5 ...

  6. 当 Redis 发生高延迟时,到底发生了什么

    Redis 是一种内存数据库,将数据保存在内存中,读写效率要比传统的将数据保存在磁盘上的数据库要快很多.但是 Redis 也会发生延迟时,这是就需要我们对其产生原因有深刻的了解,以便于快速排查问题,解 ...

  7. 『题解』UVa11324 The Largest Clique

    原文地址 Problem Portal Portal1:UVa Portal2:Luogu Portal3:Vjudge Description Given a directed graph \(\t ...

  8. salesforce lightning零基础学习(十四) Toast 浅入浅出

    本篇参考: https://developer.salesforce.com/docs/component-library/bundle/force:showToast/specification h ...

  9. 【html css js】实现一个简易日历

    ——[效果预览] 实现了日历最基础的功能,当前日期红色显示,可通过上方的左右按钮查看上一月或下一月的日期. ——[代码部分] 1. HTML <body> <div class=&q ...

  10. k8s部署高可用Ingress

    部署高可用Ingress 官网地址https://kubernetes.github.io/ingress-nginx/deploy/ 获取ingress的编排文件 wget https://raw. ...