当前位置: 首页 > 网站建设 > Nginx环境下PHP安全设置

Nginx环境下PHP安全设置

发布于:2019-4-16 网站建设 4条评论 10,268 views
本站提供Linux服务器运维,自动化脚本编写等服务,如有需要请联系博主微信:xiaozme

当下Nginx越发流行,宝塔面板、Oneinstack、LNMP等集成环境大多数都使用Nginx作为WEB服务,Nnginx + PHP情况下使用FPM(FastCGI 进程管理器)来执行PHP,这篇文章抛开PHP程序写法不严谨造成的本身漏洞,单从WEB服务和PHP本身设置来加强PHP程序安全。

禁用危险函数

PHP提供的system()等函数可以直接执行系统命令,如果程序限制不严谨或写法不规范,被骇客利用是非常危险的,禁用此类较为危险的函数非常有必要。需要修改php.ini,添加如下内容:

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen

防止跨站攻击

跨站攻击通常表现为A网站被黑之后,骇客利用脚本再次访问B网站或其它目录,最终可能导致所有网站全部沦陷。

open_basedir 参数将php所能打开的文件限制在指定的目录树中,包括文件本身。当程序要使用例如fopen()或file_get_contents()打开一个文件时,这个文件的位置将会被检查。当文件在指定的目录树之外,程序将拒绝打开。open_basedir设置的方法比较多,这里列出几个常用的。

php.ini设置

可以直接修改php.ini直接加入

open_basedir="指定目录"

从PHP脚本上设置

在程序脚本上限制:

ini_set('open_basedir', '指定目录');

通过.user.ini 进行设置

先来看看官方具体是如何解释.user.ini这个文件的:

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。

简而言之,也就是说当PHP以CGI/FastCGI SAPI方式运行时,会去读取一个.user.ini的配置,我们可以在这里面设定open_basedir参数来防止跨站。

在站点根目录下新建一个.user.ini,内容如下:

open_basedir=/data/wwwroot/:/tmp/:/proc/

为防止.user.ini被篡改,可以给这个文件加上隐藏属性。

chattr +i .user.ini

目前已知的宝塔面板,军哥LNMP(lnmp.org)默认使用.user.ini来防止跨站,这个方式非常灵活,可以针对某个网站单独设置。

禁止部分目录执行PHP

大多数PHP框架,如CodeIgniter、ThinkPHP都是单一入口,只需要index.php有入口权限程序就能正常运行。上传目录、静态文件目录完全没必须要赋予PHP执行权限,否则反而可能被利用。nginx可以通过下面的规则来禁止某个目录执行PHP:

#uploads|templets|data 这些目录禁止执行PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
    return 444;
}

其它说明

以上主要是针对PHP本身设置和Nginx上进行限制,若有不足还请指正,此文部分内容参考了:


标签:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注


已有4条评论


  1. 还有一种写法,直接写在fastcgi.conf中根据网站目录自动限制。加一句
    fastcgi_param PHP_ADMIN_VALUE “open_basedir=$document_root/:/tmp/:/proc/”;