首页>>帮助中心>>美国VPSPHP环境安全加固配置

美国VPSPHP环境安全加固配置

2024/10/21 30次

美国VPSPHP环境安全加固配置


一、启用 PHP 的安全模式

PHP 环境提供的安全模式是一个非常重要的内嵌安全机制,PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。
可以通过修改 php.ini 配置文件启用 PHP 安全模式:

safe_mode = on

二、用户组安全

当启用安全模式后,如果safe_mode_gid选项被关闭,PHP 脚本能够对文件进行访问,且相同用户组的用户也能够对该文件进行访问。
因此,建议将该选项设置为关闭状态:

safe_mode_gid = off

该选项参数仅适用于 Linux 操作系统。
如果不进行该设置,可能无法对服务器网站目录下的文件进行操作。

三、安全模式下执行程序主目录

如果启用了安全模式后,想要执行某些程序的时候,可以指定需要执行程序的主目录,例如:

safe_mode_exec_dir = /usr/bin

一般情况下,如果不需要执行什么程序,建议您不要指定执行系统程序的目录。可以指定一个目录,然后把需要执行的程序拷贝到这个目录即可,例如:

safe_mode_exec_dir = /data/www/cmd

但是,更推荐不要执行任何程序。这种情况下,只需要将执行目录指向网页目录即可:

safe_mode_exec_dir = /data/www

四、安全模式下包含文件

如果需要在安全模式下包含某些公共文件,只需要修改以下选项即可:

safe_mode_include_dir = /data/www/include/

一般情况下,PHP 脚本中包含的文件都是在程序已经写好的,可以根据具体需要进行设置。
五、控制 PHP 脚本能访问的目录

使用open_basedir选项能够控制 PHP 脚本只能访问指定的目录,这样能够避免 PHP 脚本访问不应该访问的文件,一定程度下降低了 phpshell 的危害。一般情况下,可以设置为只能访问网站目录:

open_basedir = /data/www

六、关闭危险函数

如果启用了安全模式,那么可以不需要设置函数禁止,但为了安全考虑,还是建议进行相关设置。例如,不希望执行包括system()等在内的执行命令的 PHP 函数,以及能够查看 PHP 信息的phpinfo()等函数,那么您可以通过以下设置禁止这些函数:

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果想要禁止对于任何文件和目录的操作,可以关闭以下文件相关操作。

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

以上设置可以抵制大部分的 phpshell 威胁。
七、关闭 PHP 版本信息在 HTTP 头中的泄露

为了防止黑客获取服务器中 PHP 版本的信息,禁止该信息在 HTTP 头部内容中泄露:

expose_php = off

这样设置之后,黑客在执行telnet 80尝试连接服务器的时候,将无法看到 PHP 的版本信息。
八、错误信息控制

一般 PHP 环境在没有连接到数据库或者其他情况下会有错误提示信息,错误信息中可能包含 PHP 脚本当前的路径信息或者查询的 SQL 语句等信息,这类信息如果暴露给黑客是不安全的,因此禁止该错误提示:

display_errors = Off

如果确实要显示错误信息,一定要设置显示错误信息的级别。例如,只显示警告以上的错误信息:

error_reporting = E_WARNING & E_ERROR

强烈建议您关闭错误提示信息。
九、错误日志

在关闭错误提示信息后,对于错误信息进行记录,便于排查服务器运行异常的原因:

log_errors = On

同时,需要设置错误日志存放的目录:

error_log = /data/logs/php_error.log

该文件必须设置允许 Apache 或者 nginx 用户或用户组具有写的权限。


一诺网络香港免备案专区,提供「香港增强云服务器」和「香港特惠云服务器」两种类型的高可用弹性计算服务,搭载新一代英特尔®至强®铂金处理器,接入CN2低延时高速回国带宽线路,网络访问顺滑、流畅。机房网络架构采用了BGP协议的解决方案可提供多线路互联融合网络,使得不同网络运营商线路的用户都能通过最佳路由实现快速访问。香港云服务器低至29元/月,购买链接:https://www.enuoidc.com/vps.html?typeid=2

版权声明

    声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们996811936@qq.com进行处理。