11.28 限定某个目录禁止php解析
本节内容应用于对静态文件目录或可写的目录进行优化设置,通过限制解析/访问权限来避免别恶意攻击,提高安全性。
编辑虚拟主机配置文件:
[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
</Directory>
创建相应的目录:
[root@adailinux 111.com]# mkdir upload
……
[root@adailinux 111.com]# ls upload/
123.php abc.jpg baidu.png
测试:
[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php'
<?php
echo "welcom to 123file";
?>
[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:47:16 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
说明: 在此访问123.php文件时直接显示源代码,即无法进行PHP解析,访问其他类型的文件没问题。
添加PHP访问限制
添加参数“< FilesMatch (.*)\ .php(. *) > ”:
[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.*)\.php(.*)>
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
说明: 如果只设置禁止PHP解析,用户访问PHP文件时会显示源代码,添加该参数可以避免用户看到服务器PHP源码,进一步提升安全性。
测试:
[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 04:28:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:29:25 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
说明: 此时访问123.php的状态码为403,即无法访问!
11.29 限制user_agent
>user_agent(用户代理):是指浏览器(搜索引擎)的信息包括硬件平台、系统软件、应用软件和用户个人偏好。
需求背景:
有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装。CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。
编辑虚拟主机配置文件:
[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
……
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
RewriteRule .* - [F]
</IfModule>
……
说明: NC表示忽略大小写,OR选项表示或者(不加任何选项表并且)连接下一个条件,F=forbidden禁止。
检测:
[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 06:59:14 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 07:01:01 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php'
welcom to 123file
说明: curl -A 指定useragent。
11.30 PHP相关配置
查看PHP配置文件:
/usr/local/php/bin/php -i|grep -i "loaded configuration file"
PHP参数
设定时区
date.timezone
一些功能选项:
“eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo ”
以上功能选项可以通过“disable_function”来限制,以达到提高网站安全性的目的:
disable_function=
- 日志相关
display_errors=On/Off :设定是否显示错误原因,需要注意的是,此处设置为off(防止用户看到)后必须设置错误日志,设定保存路径,和错误日志级别,否则将无法查找错误原因 。
log_errors=On/Off 开启/关闭错误日志
“error_log=/tmp/” 设定错误日志的保存路径。如果定义好路径后无法生产日志,此时需要检查日志文件所在目录是否有写(w)权限
“error_reporting =” 设定错误日志级别,级别有:E_ ALL 、
E_ NOTICE 、E_ STRICT 、~E_DEPRECATED(可以自由组合)。生产环境使用:E_ ALL & ~E_ NOTICE就可以。
官方说明:
E_ALL (Show all errors, warnings and notices including coding standards.)
E_ALL & ~E_NOTICE (Show all errors, except for notices)
E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.)
E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)
安全参数“open_basedir”
open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory ; or per-virtualhost web server configuration file.
译:如果设置了open_basedir选项,将会把所有关于文件的操作限制在指定目录及其子目录。 将该指令设定在每个目录或者虚拟主机web服务器配置文件中非常重要。
说明: php.ini文件中的内容是针对所有虚拟主机进行的配置。
问题: 一台服务器运行着不止一台虚拟主机,所以在该文件下设置该选项并不合适。那么,该如何设定该配置呢?
办法: 分别在每个虚拟主机的配置文件进行相关设置。
[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"
说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
在此开放“/tmp/”目录是为了使临时文件能正常写入。
扩展:
apache开启压缩功能
这里的压缩并不是对网站的图片压缩,而是对普通的静态文件,诸如html, js, css 等元素压缩,通过压缩节省带宽资源。
配置
检查本地Apache是否支持压缩功能
/usr/local/apache2/bin/apachectl -l
在此查看是否有“mod_deflate”模块,如果没有,继续查看:
ls /usr/local/apache2/modules/
在此查看有没有“mod_deflate.so”这个文件,如果这里也没有,那说明你的apache不支持压缩,需要重编译一下,或者扩展形式安装,或者重新编译apache, 需要在编译的时候,加上“--enable-deflate=shared”。
添加完成deflate这个模块后开始进行配置:
编辑Apache配置文件httpd.conf:
LoadModule deflate_module modules/mod_deflate.so
DeflateCompressionLevel 5
AddOutputFilterByType DEFLATE text/html text/plain text/xml
AddOutputFilter DEFLATE js css
其中DeflateCompressionLevel 是指压缩程度的等级,从1到9,9是最高等级。
apache2.2到2.4后配置文件变更
- 访问控制
Apache2.2 configuration:
Order deny,allow
Deny from all
Apache2.4 configuration:
Require all denied
常用配置有:
Require all denied
Require all granted
Require host xxx.com
Require ip 192.168.1 192.168.2
Require local
- 设定log记录方式改变
RewriteLogLevel 指令改为 logLevel。
eg:
LogLevel warn rewrite: warn
NameVirtualhost被移除
模块组:
- 网站压缩,除了使用mod_ deflate,Apache2.4中还要mod_filter。
- 使用ssl凭证,除了使用mod_ ssl,Apache2.4中还需要mod_socache _shmcb
Apache 参数(options)
指令控制了在特定目录中将使用哪些服务器特性。Options属性有一个非常特别的功能: 如果你没有用“+”或者“-”来增加或者减少一个功能的时候,每个之前定义的Options的所有功能都会被取消, 直到你又为它指定一些功能。所以options属性在整体设置和虚拟主机设置的是不相关的, 互相不起作用,因为他们在特定的范围内被重载了。 如果要在虚拟主机里面使用在整体设置中的Options的设置, 那么就不要在虚拟主机设置中指定Options属性。如果要增加或者减少功能, 那么用“+”或者“-”符号来实现。Options 指令控制了在特定目录中将使用哪些服务器特性。 可选项能设置为 None ,在这种情况下,将不启用任何额外特性。或设置为以下选项中的一个或多个:
All:
除MultiViews之外的所有特性,这是默认设置。ExecCGI:允许执行CGI脚本
FollowSymLinks:
服务器会在此目录中使用符号连接。
注意: 即便服务器会使用符号连接,但它不会改变用于匹配配置段的路径名。 如果此配置位于配置段中,则此设置会被忽略。Includes :允许服务器端包含。
IncludesNOEXEC:
允许服务器端包含,但禁用#exec命令和#exec CGI(通用网关接口,是用于初始化软件服务的服务器方接口。)。但仍可以从ScriptAliase目录使用#include 虚拟CGI脚本。
>CGI(Common Gateway Interface)通用网关接口,它是一段程序,运行在服务器上,提供同客户端HTML页面的接口,通俗的讲CGI就像是一座桥,把网页和WEB服务器中的执行程序连接起来,它把HTML接收的指令传递给服务器,再把服务器执行的结果返还给HTML页;用CGI可以实现处理表格,数据库查询,发送电子邮件等许多操作,最常见的CGI程序就是计数器。CGI使网页变得不是静态的,而是交互式的。Indexes:
如果一个映射到目录的URL被请求,而此目录中又没有DirectoryIndex(例如:index.html),那么服务器会返回一个格式化后的目录列表。MultiViews: 允许内容协商的多重视图。
SymLinksIfOwnerMatch:
服务器仅在符号连接与其目的目录或文件拥有者具有同样的用户id时才使用它。
注意: 如果此配置出现在配置段中,此选项将被忽略。一般来说,如果一个目录被多次设置了Options,则最特殊的一个会被完全接受,而各个可选项的设定彼此并不融合。然而,如果所有施用于Options指令的可选项前都加有+或-符号,此可选项将被合并。所有前面加有+号的可选项将强制覆盖当前可选项设置,而所有前面有-号的可选项将强制从当前可选项设置中去除。eg: 如果没有任何+和-符号:
Options Indexes FollowSymLinks Options Includes
则只有Includes设置到/web/docs/spec目录上。然而如果第二个Options指令使用了+和-符号:
Options Indexes FollowSymLinks Options +Includes -Indexes
那么就会有FollowSymLinks和Includes设置到/web/docs/spec目录上。
apache禁止trace或track防止xss攻击
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
禁用trace:使用rewrite功能
RewriteEngine On
RewriteCondi %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
或者还可以直接在apache的配置文件中配置相应参数
TraceEnable off
apache配置https支持ssl
> SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。
SSL证书就是遵守SSL协议的服务器数字证书,由受信任的证书颁发机构(CA机构),验证服务器身份后颁发,部署在服务器上,具有网站身份验证和加密传输双重功能。
安装openssl
apache2.0 建议安装0.9版本,我曾经试过2.0.59 对openssl-1.0编译不过去。下载Openssl:http://www.openssl.org/source/tar -zxf openssl-0.9.8k.tar.gz #解压安装包
cd openssl-0.9.8k #进入已经解压的安装包
./configure #配置安装。推荐使用默认配置
make && make install #编译及安装
openssl默认将被安装到/usr/local/ssl。
- 让apache支持ssl
编译的时候,要指定ssl支持。
静态
--enable-ssl=static --with-ssl=/usr/local/ssl
动态
--enable-ssl=shared --with-ssl=/usr/local/ssl
其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块,而静态不会有,当然第二种方法也需要在httpd.conf 中加入:
LoadModule ssl_module modules/mod_ssl.so
- 生成证书
创建私钥
在创建证书请求之前,您需要首先生成服务器证书私钥文件。cd /usr/local/ssl/bin
#进入openssl安装目录 openssl genrsa -out server.key 2048
#运行openssl命令,生成2048位长的私钥server.key文件。 #如果您需要对server.key添加保护密码,请使用 -des3扩展命令。Windows环境下不支持加密格式私钥,Linux环境下使用加密格式私钥时,每次重启Apache都需要您输入该私钥密码。 #(例:openssl genrsa -des3 -out server.key 2048)cp server.key /usr/local/apache/conf/ssl.key/
生成证书请求(CSR)文件
openssl req -new -key server.key -out certreq.csr
Country Name: //您所在国家的ISO标准代号,中国为CN
State or Province Name: //您单位所在地省/自治区/直辖市
Locality Name: //您单位所在地的市/县/区
Organization Name: //您单位/机构/企业合法的名称
Organizational Unit Name: //部门名称
Common Name: //通用名,例如:www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address: //您的邮件地址,不必输入,直接回车跳过
"extra"attributes //以下信息不必输入,回车跳过直到命令执行完毕。备份私钥并提交证书请求
请将证书请求文件certreq.csr提交给天威诚信,并备份保存证书私钥文件server.key,等待证书的签发。服务器证书密钥对必须配对使用,私钥文件丢失将导致证书不可用。
- 安装证书
获取服务器证书中级CA证书
为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA证书(不同品牌证书,可能只有一张中级证书),从邮件中获取中级CA证书:将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到同一个记事本等文本编辑器中,中间用回车换行分隔。修改文件扩展名,保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书,则只需要保存并安装一张中级证书)。
获取EV服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘贴到记事本等文本编辑器中,保存为ssl.crt/server.crt文件。配置Apache2.0
编辑配置文件httpd.conf,添加如下内容:
Listen 443
NameVirtualHost *:443
DocumentRoot "/data/web/www"
ServerName aaa.com:443
ErrorLog "logs/error.log"
CustomLog "logs/access.log" combined
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt