php.ini是php的全局配置文件,之前實驗中拷貝到了/usr/local/php/etc/php.ini。如果不知道php.ini所在路徑,可以通過下方命令查看:
# /usr/local/php/bin/php -i | head
php.ini中大多是";"開頭,表示註釋
# vim /usr/local/php/etc/php.ini
1、配置disable_function
找到disable_functions添加下方內容
disable_functions=eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exe c,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close
說明:php中的有很多函數,有些事不安全的,所以將它們ban掉。
2、配置error_log
作爲一個運維人員,理應學會簡單的php錯誤排查技能,通常錯誤500。這裏將錯誤日誌輸出到指定日誌文件中,具體配置如下:
display_errors=off
log_errors=on
error_log=/usr/local/php/logs/error.log
error_reporting = E_ALL | E_STRICT
說明:error.log文件原本不存在,爲了避免權限問題不能自動生成該文件,可以先創建該文件,修改權限777。設置完成需要重啓apache才能生效。
另一種將錯誤信息顯示在網頁,只需要在php.ini中找到display_errors=on,重啓apache,刷新網頁即可。
3、配置open_basedir
open_basedir意思是指把執行php的用戶限定在指定 的路徑下,這樣通過權限縮小的方式達到安全目的。如下配置:
# vim /usr/local/php/etc/php.ini
找到或者添加
php.ini: open_basedir = /dir1/:/dir2
說明:一旦限定,php試圖去訪問dir1和dir2之外的目錄就會報錯。":"分隔多個目錄
還有一種通過apache配置文件httpd.conf中定義,因爲一個apache可能有多個站點,要針對不同站點設置,配置如下:
#vim /usr/local/apache2/conf/httpd.conf
httpd.conf: php_admin_value open_basedir "/dir1/:/dir2/"
注:
上述所有配置都需要重啓apache才能生效