限定某個目錄禁止解析php、限制user_agent、PHP相關配置

限定某個目錄禁止解析php

某個目錄下禁止解析 php，這個很有用，我們做網站安全的時候，這個用的很多，
比如某些目錄可以上傳文件， 爲了避免上傳的文件有×××， 所以我們禁止這個目錄下面的訪問解析 php.

測試目標：禁止PHP解析mm.com下yang目錄內的文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

添加以下內容

<Directory /data/wwwroot/mm.com/yang>
    php_admin_flag engine off
    </Directory>

    ![](http://i2.51cto.com/images/blog/201806/02/0e26419c6e77ca3c9c32ff38d10225d9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

然後在mm.com目錄下創建yang目錄，並創建一個index.php文件
mkdir /data/wwwroot/mm.com/yang 創建文件夾yang
vim /data/wwwroot/mm.com/yang/index.php 創建index.php文件

在index.php下添加如下內容

<?php
echo "帥陽陽";

然後我們檢查錯誤重新加載apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl進行測試
curl -x192.168.71.131:80 mm.com/yang/index.php

可以看到PHP沒有進行解析，直接輸出源代碼
這樣設置可能不太友好，我們可以直接將其deny

編輯虛擬主機配置文件
添加以下內容

<Directory /data/wwwroot/mm.com/yang>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
           Order allow,deny
           deny from all
        </FilesMatch>
</Directory>

然後我們檢查錯誤重新加載apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

進行測試，顯示403 Forbidden
curl -x192.168.71.131:80 mm.com/yang/index.php

---

限制user_agent

User-Agent（瀏覽器類型），即不讓哪些瀏覽器來訪問我們的網站
實驗目標：限制user_agent爲curl或者baidu.com的訪問
編輯虛擬主機配置文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

在配置文件中添加如下內容：

<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.*
        RewriteRule  .*  -  [F] 
    </IfModule>

上圖的第三四行是條件，他們中間用OR作爲他們的連接符，意思是user_agent匹配上面或者下面的條件，他們是或者的關係，如果不加OR就是並且的關係，NC表示忽略大小寫，
第五行後面的F表示Forbidden的意思。

然後我們檢查錯誤重新加載apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl進行測試
curl -x192.168.71.131:80 'http://kjj.com/index.php' -I

顯示403，原因就是因爲user_agent是curl

然後我們-A自定義一下user_agent
curl -A "huangmingyang" -x192.168.71.131:80 'http://kjj.com/index.php' -I

結果是200，可以正常訪問

curl常用選項：-A指定user_agent、-e指定referer、-x相當於是省略了hosts、-I只查看狀態碼。

---

php相關配置

查看php配置文件
在網站根目錄下創建index.php
vim /data/wwwroot/mm.com/index.php

添加如下內容

<?php
phpinfo();

然後在瀏覽器器訪問網站
我們可看到php的配置信息

可以看到php的配置文件存放在：/usr/local/php/etc/php.ini
如果在Loaded Configuration File這一欄顯示的是（none），那麼說明配置文件沒有記載
如果需要啓動配置文件，我們可以拷貝模板配置文件，模板配置文件通常在源碼包裏面放置的有，執行命令：
cp php.ini-development /usr/local/php/etc/php.ini

拷貝配置文件後需要重新加載下Apache再進行刷新就可以了

編輯配置文件
vim /usr/local/php/etc/php.in

啓用disable_functions，可以禁用一些危險的函數，提高服務器的安全
搜索關鍵字：disable_functions 找到如下行：
disable_functions=

在後面添加如下內容
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos

定義date.timezone ，時區
搜索關鍵字：date.timezone 找到如下行：
在後面添加如下內容，將時區定義爲上海
Asia/shanghai

定義錯誤日誌
搜索關鍵字：display_errors ，找到圖片中的段
將其中的On改爲Off，
更改之後錯誤的信息不會輸出到瀏覽器裏面，避免目錄出現暴露

錯誤的信息看不到，那麼我們還需要配置錯誤日誌，以方便查找錯誤
搜索關鍵字：error_log ，找到圖片中的行 ，可以自己定義錯誤日誌存放的地址

定義錯誤日誌記錄的級別
搜索關鍵字：error_rep ，找到圖中的標記紅色的行，將級別更改爲E_ALL，表示記錄所有的警告

open_basedir
將 PHP 所能打開的文件限制在指定的目錄樹，包括文件本身。本指令不受安全模式打開或者關閉的影響。
當一個腳本試圖用例如 fopen() 或者 gzopen() 打開一個文件時，該文件的位置將被檢查。當文件在指定的目錄樹之外時 PHP 將拒絕打開它。所有的符號連接都會被解析，所以不可能通過符號連接來避開此限制。
特殊值 . 指明腳本的工作目錄將被作爲基準目錄。但這有些危險，因爲腳本的工作目錄可以輕易被 chdir() 而改變。
在 httpd.conf 文件中中，open_basedir 可以像其它任何配置選項一樣用“php_admin_value open_basedir none”的方法關閉（例如某些虛擬主機中）。
作爲 Apache 模塊時，父目錄中的 open_basedir 路徑自動被繼承。
用 open_basedir 指定的限制實際上是前綴，不是目錄名。也就是說“open_basedir = /dir/incl”也會允許訪問“/dir/include”和“/dir/incls”，如果它們存在的話。如果要將訪問限制在僅爲指定的目錄，用斜線結束路徑名。例如：“open_basedir = /dir/incl/”。

針對不同的站點設置open_basedir，將用戶可操作的文件限制在某目錄下

1. 編輯虛擬主機配置文件
   vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
2. 在配置文件裏面添加如下內容即可實現
   php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"