11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

原创

cwliang 2018-03-08 00:08:01 ©著作权

©著作权归作者所有：来自51CTO博客作者cwliang的原创作品，请联系作者获取转载授权，否则将追究法律责任

11.28 限定某个目录禁止解析php 例如一些目录允许上传图片，为防止有人上传带有病毒php文件，所以禁止php解析，一般存放静态的文件上的目录是不允许解析PHP文件的重新加载配置文件

创建upload目录，访问提示403状态码在浏览器打开是无法打开的，连访问的机会都没有将下图的注释掉再重新加载后测试，这时候不能解析了，显示它的源代码在浏览器打开提示下载 11.29 限制user_agent vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 重新加载配置文件，curl访问提示状态码是403，就是因为user_agent是curl 所以无法访问用curl -A来自定义下user_agent就可以访问了,状态码是200，直接可以访问查看日志的user_agent 下图所示 11.30/11.31 php相关配置在下面这个根目录下创建phpinfo 在浏览器查看php.ini配置文件的路径，但是实际上没有加载没有加载就需要在源码包复制一个php.ini进去再重新加载一下配置文件刷新一下浏览器就加载了配置文件的路径这时候就可以去编辑配置文件做一些限制了 vim /usr/local/php7/etc/php.ini 输入/disable_fu 搜索到的是空的，再加入一些比较危险的函数测试phpinfo的作用打开网可以看到站点的具体内容，如果禁掉就无法打开站点了所以这里就把phpinfo取消，因为还需要使用它还需要定义date.timezone，如果不定义这个可以会有一些告紧信息，可以定的上海或重庆都是可以的上面把phpinfo函数禁用了，打开网页时把错信息显示在页面上了，这样容易暴路信息重新加载配置文件浏览器重新刷新一下，没有错误提示了，显示空白 curl -A查看也是没有任何的输出也是白页，但这不是我们想要的结果，因为不知道什么问题，不知道发生事这时候就要配置几个错误日志，方便查找原因 vim /usr/local/php7/etc/php.ini 输入/log_errors查看是否开启输入error_log定义路径这时候还要定义error_log的级别，如果error_log的级别很高的话，它仅仅会记录一比较来严峻的错误像一些警告的就不会记录，所在就不知道错误在那输入/error_reporting 在生产中我们用E_ALL & E_NOTICE就可以了，这里用E_ALL 加载配置文件测试，在/tmp下生成了php_errors.log日志文件，并查看它的属主属组它的属主属组其实是httpd的属主属组如果有一天发现错误日志始终没有写进定义的错误日志文件里，那么你就要查看一下这个定义的文件所在的目录有没有写的权限，这个写的权限的人就是httpd的启动用户，这里是deamon这个用户，为了安全起见也可以在创建touch /tmp/php_erroes.log然后再给它权限chmod 777 /tmp/php_erroes.log 查看下日志记录，然后再模拟下访问，再查看日志文件，这时候就出现Parse更严重的安全级别了我们在排查错误的时候一定要有错误日志，如果没有是不行的下面介绍open_basedir安全选项例如一个服务器上跑了N多个站点，有一些站点漏洞很多，结果这个站点被黑了，被人拿到了权限，不断惨透服务器，就有可能造成其它站点也会被黑了，这个时候增加一个open_basedir就有可能防止其它网站被黑，A网站目录在A目录下，B网站目录在B目录下,这2个目录做一个隔离，A网站被黑了也只能看到A目录，但看不到B目录，因为没有权限进去B目录，这个就是open_basedir的作用编辑配置文件，故意把111.com写错1111.com 测试一下结果提示状态码为500 将1111.com更改成正确的111.com 访问的状态码就正确了 200 如果这个服务器有N多个站点，都在这个目录下，更改php.in只针对一个目录，那么其它站点都在这个目录，都可以访问，更改php.ini文件就不合适了，php.ini是做不到的这时候需要针对这些站点去做open_basedir，就要到虚拟服务器里去做限制了 vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf /tmp/默认存放临时文件，如果限制了就无法写入临时文件，例如上传图片，它会先把图片放在临时目录，再把图片放到该放的地方，根据不同的虚拟主机限制open_basedir 测试可以访问

扩展 apache开启压缩 http://ask.apelearn.com/question/5528 apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292 apache options参数 http://ask.apelearn.com/question/1051 apache禁止trace或track防止xss http://ask.apelearn.com/question/1045 apache 配置https 支持ssl http://ask.apelearn.com/question/1029