一:apache限制某个目录禁止解析php
某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,比如
某些目录可以上传文件,为了避免上传的文件有×××,所以我们禁止这个目录下面的访问解
析php。
<Directory /data/www/data>
php_admin_flag engine off
<filesmatch "(.*)php">
Order deny,allow
Deny from all
</filesmatch>
</Directory>
说明:php_admin_flag engine off这个语句就是禁止解析 php的控制语句,但只这样配
置还不够,因为这样配置后用户依然可以访问php文件,只不过不解析了,但可以下载,用
户下载php文件也是不合适的,所以有必要再禁止一下。
二:apache禁止指定user_agent
配置如下: <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} ^Firefox/4.0 [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^Tomato Bot/1.0 [NC] RewriteRule .* - [F] </IfModule> 同样是使用rewrite 模块来实现限制指定user_agent,在本例中, RewriteRule .* - [F] 可 以直接禁止访问,rewritecond用user_agent来匹配,Firefox/4.0 表示,只要 user_agent中 含有Firefox/4.0就符合条件,其中表示任意字符,NC 表示不区分大小写,OR 表示或者, 连接下一个条件。假如我现在要把百度的搜索引擎限制掉,可以加一条这样的规则: RewriteCond %{HTTP_USER_AGENT} ^Baiduspider/2.0 [NC] RewriteRule . - [F] 既然有了或者OR,那有没有并且呢?你只要不写OR 就是并且的意思
- 当最后一条规则加上OR之后,它应该是把所有的条件都算进去了,比如它会认为所有的user_agent都是符合条件的,所以所有的访问都是403
- 如果不加OR, 那所有规则之间为“并且”,在本例中就是user_agent即含有chrome又含有360才算匹配。
三:php相关配置
在前面,我们已经拷贝了一个 php.ini文件到/usr/local/php/etc/目录下面,这是我们已经
知道php.ini所在路径在哪里,但有时候我们并不知道 php.ini所在路径,这时候就需要通过
命令来查一查在哪里。
#/usr/local/php/bin/php -i |head
看那一行Loaded Configuration File -> /usr/local/php/etc/php.ini。如果这里为None,那么
就说明没有加载到具体的php.ini。找到 php.ini后,用 vim打开它,发现很多行都是以;开头
的,这个符号在php.ini中作为注释符号,也就是说只要是以;开头的行都是不起作用的。而
php.ini中常用的配置有如下:
(1) 配置 disable_function disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chg rp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsock open,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,p roc_close 说明,在php中有非常多的函数,在这些函数中有一些是不×××全的,所以有必要把它 们禁v 0掉、。像exec,shell_exec都是在php代码中执行 linux shell命令,很危险,要禁掉。
(2)配置error_log 如果你是php开发人员,那我相信你会经常遇到调试代码的情况,作为一个运维人员我 们理应学会简单的php 错误排查技能,其实php的错误跟 linux下其他服务都是一样的,遇 到错误后要查看错误日志,根据报错信息来判断错误的原因。那如何查看php的错误信息呢? 遇到错误时,我们访问网站通常会显示白页,什么都没有,状态码是500。第一种情况,可 以直接把错误信息显示在浏览器中,配置方法是,在 php.ini中找到display_error=on,重启 apache服务后,刷新网页,发现不再是白页,而是具体的错误。这样我们就可以根据错误来 调试php代码了。这种情况适合临时调试,但是这种情况不适合长期配置,因为所有错误都 会显示在浏览器上,假如哪天 php程序员不小心写错一段代码,而且没测试直接上传到服务 器上了,那么我们的用户就会直接看到这些错误,这样是不合适的。所以还有第二种情况, 把错误信息输出到一个日志文件中,具体配置如下: #vim /usr/local/php/etc/php.ini 加入或者更改 display_error=off log_errors=on error_log=/usr/local/php/logs/error.log 说明:该文件一开始是不存在的,为了避免权限问题不能自动生成该文件,我们可以先 创建该文件,并且修改权限为 777 error_reporting = E_ALL | E_STRICT 说明: 首先要把错误不再浏览器显示,第二打开错误日志开关,然后指定错误日志的 路径,最后是定义错误日志的级别。配置完成后记得要重启 apache服务,才会生效。
php的错误日志级别 error_report ; E_ALL 所有错误和警告(除E_STRICT外) ; E_ERROR 致命的错误。脚本的执行被暂停。 ; E_RECOVERABLE_ERROR 大多数的致命错误。 ; E_WARNING 非致命的运行时错误,只是警告,脚本的执行不会停止。 ; E_PARSE 编译时解析错误,解析错误应该只由分析器生成。 ; E_NOTICE 脚本运行时产生的提醒(往往是我们写的脚本里面的一些bug,比如某个变量没有定义),这个错误不会导致任务中断。 ; E_STRICT 脚本运行时产生的提醒信息,会包含一些php抛出的让我们要如何修改的建议信息。 ; E_CORE_ERROR 在php启动后发生的致命性错误 ; E_CORE_WARNING 在php启动后发生的非致命性错误,也就是警告信息 ; E_COMPILE_ERROR php编译时产生的致命性错误 ; E_COMPILE_WARNING php编译时产生的警告信息 ; E_USER_ERROR 用户生成的错误 ; E_USER_WARNING 用户生成的警告 ; E_USER_NOTICE 用户生成的提醒
(3)配置open_basedir 在 php中是有这个 open_basedir概念的,它的意思是,把执行php的用户限定在指定的 路径下,这样通过权限缩小的方式达到安全目的。作为一个网站,其实我们只需要让 php 用户访问到网站的代码即可,没有必要让它去访问其他目录。那如何配置呢? #vim /usr/local/php/etc/php.ini 加入或者更改 open_basedir = /dir1/:/dir2 说明:/dir1和/dir2 为我们允许php可以访问的两个目录,同样也可以是多个,目录之 间用:分隔。一旦限定后,如果 php试图去访问除/dir1 和/dir2外的目录下的文件时,就会报 错了。错误类似于, Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(../123.php) is not within the allowed path(s):
除了在php.ini中定义 open_basedir外,其实我们还可以在 apache的配置文件中定义, 因为一个apache下可能有多个站点,我们要针对不同的站点限定不同的 open_basedir,配置 如下。 #vim httpd.conf 或者虚拟主机配置文件,加入 php_admin_value open_basedir "/dir1/:/dir2/"
php.ini详解 http://legolas.blog.51cto.com/2682485/493917
