Linux-PHP安全要點
我在本文中將爲Linux管理員介紹幾個PHP安全要點。這些要點將幫助你確保Web應用程序安全,能來看正常運行。
下面是我環境的配置路徑:
默認的Web服務器:Apache
DocumentRoot:/var/www/html
PHP配置文件:/etc/php.ini
擴展配置目錄:/etc/php.d/
安全文件:/etc/php.d/security.ini
這些技巧將保護你的網站,避免不同類型的常見攻擊,比如SQL注入、XSS、跨站請求僞造攻擊、eval()和文件上傳等攻擊。可在此(https://www.sitepoint.com/top-10-php-security-vulnerabilities/)查看常見攻擊列表。
1. 刪除不必要的模塊
PHP隨帶內置的PHP模塊。它們對許多任務來說很有用,但是不是每個項目都需要它們。只要輸入下面這個命令,就可以查看可用的PHP模塊:
php - m
一旦你查看了列表,現在可以刪除不必要的模塊。減少模塊的數量有助於提高你所處理的Web應用程序的性能和安全。
2. 限制PHP信息泄露
平臺泄露關鍵信息司空見慣。比如說,PHP會泄露一些信息,比如版本以及它安裝到服務器上的事實。這可以通過expose_php命令來實現。爲了防止泄露,你需要在/etc/php.d/security.ini中將該命令設成off。
expose_php=Off
如果你需要了解版本及其狀態,只要針對網站地址運行一個簡單的Curl命令就可以獲得該信息。
Curl - I http://www.livecoding.tv/index.php
之前的命令會返回下列信息:
**HTTP/1.1 200 OK
X-Powered-By: PHP/7.0.10
Content-type: text/html; charset=UTF-8**
3. 禁用遠程代碼執行
遠程代碼執行是PHP安全系統方面的常見安全漏洞之一。默認情況下,遠程代碼執行在你的系統上已被啓用。“allow_url_fopen”命令允許請求(require)、包括(include)或可識別URL的fopen包裝器等函數可以直接訪問PHP文件。遠程訪問通過使用HTTP或FTP協議來實現,會導致系統無力防禦代碼注入安全漏洞。
爲了確保你的系統安全可靠、遠離遠程代碼執行,你可以將該命令設成“Off”,如下所示:
**Allow_url_fopen=Off
allow_url_include=Off**
4. 將PHP錯誤記入日誌
加強Web應用程序安全的另一個簡單方法就是,不向訪客顯示錯誤。這將確保黑客根本無法危及網站的安全性。需要在/etc/php.d/security.ini文件裏面進行編輯。
display_errors=Off
現在你可能會想:完成這一步後,“開發人員在沒有錯誤信息的幫助下如何調試?”開發人員可以使用log_errors命令來用於調試。他們只需要在security.ini文件中將log_errors命令設成“On”。
**log_errors=On
error_log=/var/log/httpd/php_scripts_error.log**
5. 合理控制資源
爲了確保應用程序的安全,控制資源很重要。爲了確保適當的執行和安全,你就要對PHP腳本執行予以限制。此外,還應該對花在解析請求數據上的時間予以限制。如果執行時間受到控制,腳本使用的內存等其他資源也應該會得到相應配置。所有這些度量指標可通過編輯security.ini文件來加以管理。
**set in seconds
max_execution_time = 25
max_input_time = 25
memory_limit = 30M**
6. 禁用危險的PHP函數
PHP隨帶用於開發的實用函數,但是也有可能被黑客用來闖入Web應用程序的大量函數。禁用這些函數可以提高總體安全性,並確保你沒有受到危險的PHP函數的影響。