限定某个目录禁止解析php、限制user_agent、PHP相关配置

一、限定某个目录禁止解析php

某个目录下禁止解析 php，这个很有用，我们做网站安全的时候，这个用的很多，

比如某些目录可以上传文件， 为了避免上传的文件有木马， 所以我们禁止这个目录下面的访问解析 php.

1. 测试目标：禁止PHP解析111.com下upload目录内的文件

    编辑虚拟主机配置文件

vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf

    添加以下内容

<Directory /data/wwwroot/111.com/upload>     

        php_admin_flag engine off                               

</Directory>

2.使用curl进行测试，在upload目录下存放一个test.php文件

[root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/test.php

<?php

echo "123.php";

   可以看到PHP没有进行解析，直接输出源代码

   这样设置可能不太友好，我们可以直接将其deny

<Directory /data/wwwroot/111.com/upload>

        php_admin_flag engine off

        <FilesMatch (.*).php(.*)>

           Order allow,deny

           deny from all

        </FilesMatch>

</Directory>

3. 进行测试，显示403 Forbidden

[root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/test.php -I

HTTP/1.1 403 Forbidden

Date: Mon, 05 Mar 2018 21:10:21 GMT

Server: Apache/2.4.29 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1

 二 、限制user_agent

User-Agent（浏览器类型），即不让哪些浏览器来访问我们的网站

实验目标：限制user_agent为curl或者baidu.com的访问

1.   编辑虚拟主机配置文件

vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf

     在配置文件中添加如下内容：

<IfModule mod_rewrite.c>

        RewriteEngine on

        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]                   #NC表示忽略大小写，OR表示或者的意思，上下两个条件或者

        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]             #限制user_ragent 为curl或者baidu.com的进行访问

        RewriteRule  .*  -  [F]                                                                          #直接F表示，Forbidden

    </IfModule>

2. 使用curl进行测试，-A可以模拟user_agent

[root@localhost ~]# curl -A "www.qq.com"; -x127.0.0.1:80 'http://111.com/123.php'; -I    #模拟user_ragent为www.qq.com正常访问

HTTP/1.1 200 OK

Date: Tue, 06 Mar 2018 13:39:51 GMT

Server: Apache/2.4.29 (Unix) PHP/5.6.30

X-Powered-By: PHP/5.6.30

Content-Type: text/html; charset=UTF-8

[root@localhost ~]# curl -A "www.baidu.com"; -x127.0.0.1:80 'http://111.com/123.php'; -I    #模拟user_ragent为www.baidu.com的显示403 Forbidden

HTTP/1.1 403 Forbidden

Date: Tue, 06 Mar 2018 13:39:58 GMT

Server: Apache/2.4.29 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1

三、PHP相关配置

1. PHP的配置文件存放地址，可以在phpinfoi面查看相关的信息

   可以看到php的配置文件存放在：/usr/local/php/etc/php.ini

   如果在Loaded Configuration File这一栏显示的是（none），那么说明配置文件没有记载

   如果需要启动配置文件，我们可以拷贝模板配置文件，模板配置文件通常在源码包里面放置的有，执行命令：

cp php.ini-development /usr/local/php/etc/php.ini

   拷贝配置文件后需要重新加载下Apache再进行刷新就可以了

2. 编辑配置文件

vim /usr/local/php/etc/php.in

  2.1 启用disable_functions，可以禁用一些危险的函数，提高服务器的安全

       搜索关键字：disable_functions   找到如下行：

       在后面添加如下内容

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos

 2.2 定义date.timezone ，时区

      搜索关键字：date.timezone  找到如下行：

       在后面添加如下内容，将时区定义为上海

Asia/Shanghai

2.3 定义错误日志

     搜索关键字：display_errors ，找到图片中的段

     将其中的On改为Off，

     更改之后错误的信息不会输出到浏览器里面，避免目录出现暴露

     错误的信息看不到，那么我们还需要配置错误日志，以方便查找错误

     搜索关键字：error_log  ，找到图片中的行  ，可以自己定义错误日志存放的地址

     定义错误日志记录的级别

     搜索关键字：error_reportin     ，找到图中的标记红色的行，将级别更改为E_ALLL，表示记录所有的警告

open_basedir

将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。

特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。

在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。

作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。

用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

针对不同的站点设置open_basedir，将用户可操作的文件限制在某目录下

1. 编辑虚拟主机配置文件

vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf

2. 在配置文件里面添加如下内容即可实现

php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"