Linux下PHP網(wǎng)站服務器安全配置如何加固防護

這篇文章給大家分享的是有關Linux下PHP網(wǎng)站服務器安全配置如何加固防護的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

東方網(wǎng)站建設公司創(chuàng)新互聯(lián),東方網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為東方上1000家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿網(wǎng)站建設要多少錢，請找那個售后服務好的東方做網(wǎng)站的公司定做！

PHP被廣泛用于各種Web開發(fā)。而當服務器端腳本配置錯誤時會出現(xiàn)各種問題?，F(xiàn)今，大部分Web服務器是基于Linux環(huán)境下運行（比如：Ubuntu，Debian等）。

本文詳細總結了PHP網(wǎng)站在Linux服務器上面的安全配置，包含PHP安全、MySQL數(shù)據(jù)庫安全、web服務器安全、木馬查殺和防范等，很好很強大很安全。(如果需要深入的安全部署建議找專業(yè)做安全的國內公司如：Sinesafe,綠盟,啟明星辰等等都是比較不錯的專業(yè)做網(wǎng)站安全的公司)

PHP安全配置

1. 確保運行php的用戶為一般用戶，如www

2. php.ini參數(shù)設置

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函數(shù)

expose_php = off #避免暴露PHP信息

display_errors = off #關閉錯誤信息提示

register_globals = off #關閉全局變量

enable_dl = off #不允許調用dl

allow_url_include = off #避免遠程調用文件

session.cookie_httponly = 1 #http only開啟

upload_tmp_dir = /tmp#明確定義upload目錄

open_basedir = ./:/tmp:/home/wwwroot/#限制用戶訪問的目錄

open_basedir參數(shù)詳解

open_basedir可將用戶訪問文件的活動范圍限制在指定的區(qū)域，通常是其家目錄的路徑，也可用符號"."來代表當前目錄。注意用open_basedir指定的限制實際上是前綴,而不是目錄名。

舉例來說: 若"open_basedir = /home/wwwroot", 那么目錄"/home/wwwroot"和"/home/wwwroot1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄，請用斜線結束路徑名。

注意：

從網(wǎng)上獲取的資料來看，open_basedir會對php操作io的性能產(chǎn)生很大的影響。研究資料表明，配置了php_basedir的腳本io執(zhí)行速度會比沒有配置的慢10倍甚至更多，請大家自己衡量

open_basedir也可以同時設置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統(tǒng)中用冒號分隔目錄。當其作用于Apache模塊時，父目錄中的open_basedir路徑自動被繼承。

MySQL安全設置

1. MySQL版本的選擇

在正式生產(chǎn)環(huán)境中，禁止使用4.1系列的MySQL數(shù)據(jù)庫。至少需要使用5.1.39或以上版本。

2. 網(wǎng)絡和端口的配置

在數(shù)據(jù)庫只需供本機使用的情況下，使用–skip-networking參數(shù)禁止監(jiān)聽網(wǎng)絡 。

3. 確保運行MySQL的用戶為一般用戶，如mysql，注意存放數(shù)據(jù)目錄權限為mysql

vi/etc/my.cnf 
user = mysql

4. 開啟mysql二進制日志，在誤刪除數(shù)據(jù)的情況下，可以通過二進制日志恢復到某個時間點

vi/etc/my.cnf 
log_bin = mysql-bin 
expire_logs_days = 7

5. 認證和授權

(1) 禁止root賬號從網(wǎng)絡訪問數(shù)據(jù)庫，root賬號只允許來自本地主機的登陸。

mysql>grantallprivilegeson*.* toroot @localhost identified by'password'withgrantoption; 
mysql>flush priveleges;

(2) 刪除匿名賬號和空口令賬號

mysql>USE mysql; 
mysql>deletefromuserwhereUser=; 
mysql>deletefromuserwherePassword=; 
mysql>deletefromdb whereUser=;

web服務器安全

確保運行Nginx或者Apache的用戶為一般用戶，如www，注意存放數(shù)據(jù)目錄權限為www

防止sql注入

if( $query_string ~* ".*[\;'\<\>].*"){ 
return404; 
}

關閉存放數(shù)據(jù)上傳等目錄的PHP解析

location ~* ^/(attachments|data)/.*\.(php|php5)${ 
deny all; 
}

針對Apache：關閉圖片目錄/上傳等目錄的PHP解析

order allow,deny 
Deny from all

木馬查殺和防范

php木馬快速查找命令

grep-r --include=*.php '[^a-z]eval($_POST'/home/wwwroot/ 
grep-r --include=*.php 'file_put_contents(.*$_POST\[.*\]);'/home/wwwroot/

利用find mtime查找最近兩天或者發(fā)現(xiàn)木馬的這幾天，有哪些PHP文件被修改

find-mtime -2 -typef -name \*.php

防范：

1. 做好之前的安全措施，比如禁用相關PHP函數(shù)等

2. 改變目錄和文件屬性

find-typef -name \*.php -execchomd 644 {} \; 
find-typed -execchmod755 {} \; 
chown-R www.www /home/wwwroot/www.waitalone.cn

3. 為防止跨站感染，需要做虛擬主機目錄隔離

(1) nginx的簡單實現(xiàn)方法

利用nginx跑多個虛擬主機，習慣的php.ini的open_basedir配置：

open_basedir = ./:tmp:/home/wwwroot/

注：/home/wwwroot/是放置所有虛擬主機的web路徑

黑客可以利用任何一個站點的webshell進入到/home/wwwroot/目錄下的任何地方，這樣對各個虛擬主機的危害就很大

例如： /data/www/wwwroot目錄下有2個虛擬主機

修改php.ini

open_basedir = ./:/tmp:/home/wwwroot/www.sinesafe.com:/home/wwwroot/back.sinesafe.com

這樣用戶上傳webshell就無法跨目錄訪問了。

(2) Apache的實現(xiàn)方法，控制跨目錄訪問

在虛擬機主機配置文件中加入

php_admin_value open_basedir "/tmp:/home/wwwroot/www.sinesafe.com"

感謝各位的閱讀！關于“Linux下PHP網(wǎng)站服務器安全配置如何加固防護”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！

當前標題：Linux下PHP網(wǎng)站服務器安全配置如何加固防護
轉載源于：http://bm7419.com/article30/jdespo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供外貿網(wǎng)站建設、軟件開發(fā)、靜態(tài)網(wǎng)站、App設計、云服務器、標簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)