说明: LAMP系统以安全和高效而闻名,但缺省的安装配置依然有部分权限设置过于宽松,导致
系统存在安全隐患, 尤其是对于提供支持PHP功能的虚拟域名空间租用服务的系统,就一定要
加强相关的安全设置.
本文原来是工作过程中的笔记,主要是针对RedHat Linux版本的设置特点,所介绍的配置选项
部分是从Google上寻找,部分是我的经验心得,均在CentOS4.4中调试通过. 讀者如有兴趣,请
参考使用; 若有更好更全面的见解,也欢迎不吝赐教();
PHP安全设置的参考资料: (網主Stefan Esser原是teso成员,是目前搞php安全最牛的人之一)
################################################################################
請注意: 本文所描述的选项配置只涉及两个文件: php.ini和httpd.conf;
參考網址:
對于提供公共網絡服務的ISP,基于安全性理由,建議apache和php都使用最小權限的公用设置.
針對特定用戶所提出的涉及安全性能的特殊要求, 可以在不改变全局性的共用设置的情況下,
通過利用Apache Virtualhost的PHP扩展功能來實現. 只需在相應用戶的Virtualhost的設置
段落中插入php_value,php_admin_value或php_admin_flag指令,就可以使該用戶具有與全局
設置不同的權限和行為.
針對Apache的特定虛擬用戶進行單獨配置的相关语法如下:
php_admin_value name 1|0|string (value控制具体的参数)
php_admin_flag name on|off (flag控制on或off,適用于Apache2.20版本)
請注意: 上述針對虛擬用戶的設置命令,可以直接設置在
單元里面,或者設置在
相應用戶的單元里面.
例如,要将ernest这个用户的register_globals功能打开,并且将upload_max_filesize调高到
5M,同時關閉safe_mode,但又不影响其他用户,就可以在该用户的VirtualHost里面加如下幾行:
php_value upload_max_filesize 5M
php_value register_globals 1
php_value safe_mode 0
php_flag safe_mode Off
php_admin_value safe_mode 0 #(for Apache2.20)
php_admin_flag safe_mode Off #(for Apache2.20)
在php.ini配置文件中的大部分功能,均可以用这种方式来调整,调整后应重新启动apache,然后
就可以在phpinfo中看到中间栏的Local Value同右边栏位的Master Value是不同值.
請注意: 有些参数值的设定方法跟它们在php.ini配置文件中的设置方法可能不一样,例如
上面的"register_globals 1", 原来在php.ini中应是"register_globals On".
################################################################################
================================================================================
(1) safe_mode: 以安全模式运行PHP;
--------------------------------------------------------------------------------
在php.ini文件中使用如下選項(這是影響全局的設置):
safe_mode = On (使用安全模式)
safe_mode = Off (关闭安全模式)
PHP的安全模式是為了試圖解決共享伺服器(shared-server)的安全問題而專門設立的. 然而
從結構上看, 試圖在PHP層面上解決這個問題其實是不合理的, 只是考慮到修改WEB伺服器層
和操作系統層都顯得非常的不現實, 因此許多使用者,特別是提供公共網絡服務的ISP供應商,
大多都在其服務器中要求以安全模式來运行PHP,用以防止合法用戶的跨站讀取或越權操作等
危險行為, 以及將非授權用戶的惡意行為所造成的影響降到最低范圍.
參考網址:
在Apache的httpd.conf中VirtualHost的相应设置方法(這是針對特定用戶的設置):
php_admin_flag safe_mode On (使用安全模式)
php_admin_flag safe_mode Off (关闭安全模式)
或者:
php_admin_value safe_mode 1 (使用安全模式)
php_admin_value safe_mode 0 (关闭安全模式)
嚴重警告: 如果在全局性設置中已經啟用了safe_mode的功能,但又在特別的用戶虛擬空間中
關閉該用戶的safe_mode的功能,這就等于給予了該用戶特殊的權限,允許他不須受safe_mode
的限制而自由地使用系統的服務,也就是說所有原來被全局性的safe_mode功能所禁止的行為,
例如跨站讀取或越權操作等都可以被該用戶執行, 這就好像在原本安全設防的金庫中打開了
一個可供該用戶自由進出的洞,因此任何使用該用戶空間的應用都不再被全局性的safe_mode
保護所限制,當然這就意味著整個系統的安全性都可能會受到該用戶空間的影響,包括可能因
該空間應用的漏洞而導致整個系統被入侵等等. 所以,這樣的針對特定用戶的特殊設置,應當
作為一種特許授權的方式來考慮, 并有必要建立有效的監控機制以防止該用戶濫用系統資源,
否則, 一旦該用戶變得不再可信任或他的網站程序存在漏洞, 那么您的整體系統所受的影響
就會同完全沒有啟用safe_mode一模一樣.
================================================================================
================================================================================
(2) safe_mode_include_dir: 无需UID/GID检查的目录
--------------------------------------------------------------------------------
當您按照前面(1)所述之設置啟用PHP的安全模式之后,PHP的腳本在運行時就會對所有被操作
的目錄以及文件進行針對UID/GID的匹配性檢查: 即檢查被操作目錄或文件的UID或GID,是否
同當前PHP腳本文件的UID或GID一樣.
然而, 如果您的系統允許用戶的PHP腳本訪問公共路徑的話(例如很多較舊的Forum或Gallery
程序都會直接引用系統文件來擴展當時PHP還未能支持的功能), 那么這種設置就會造成麻煩.
而使用safe_mode_include_dir設置可以指定某些目錄, 當PHP腳本操作這些目录及其子目录
時(該目录必须在include_path中或者用完整路径来包含), 則允許越过UID/GID检查,即不對
該目錄進行UID/GID匹配性檢查.
从PHP4.2.0开始, 這個指令已經可以接受同include_path指令类似的风格, 即用分号隔开的
多個路径, 而以前則只能指定單一个目录. 同open_basedir一樣, 它所指定的路徑实际上也
是一个字符串的前缀限制,而非針對該目录名稱空間的操作.
例如如果指定: “safe_mode_include_dir = /dir/incl”, 那么所有的PHP腳本都将允许任意
访问 “/dir/include”和“/dir/incls” 路徑(如果它们存在的話). 因此, 如果您希望将访问
控制在一个指定的目录里面, 就必須在上述設置的指定路徑的结尾加上一个斜线, 例如:
“safe_mode_include_dir = /dir/incl/”
請注意: VirtualHost会自动继承php.ini中的safe_mode_include_dir设置.
================================================================================
================================================================================
(3) open_basedir: 将用户可操作的文件限制在某目录下;
--------------------------------------------------------------------------------
如下是php.ini中的原文說明以及默認配置:
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory or
; per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = .
open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也
可用符号"."来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是
可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
"open_basedir = /dir/user/"
open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用
冒号分隔目录。當其作用于Apache模块时,父目录中的open_basedir路径自动被继承。
有三种方法可以在Apache中为指定的用户做独立的设置:
(a) 在Apache的httpd.conf中Directory的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/
(b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /var/www/html/:/var/tmp/
(c) 因为VirtualHost中設置了open_basedir之后, 這個虛擬用戶就不会再自动继承php.ini
中的open_basedir設置值了,这就难以达到灵活的配置措施, 所以建议您不要在VirtualHost
中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/, 這個設置表示允许
访问当前目录(即PHP腳本文件所在之目錄)和/tmp/目录.
请注意: 若在php.ini所設置的上传文件临时目錄為/tmp/, 那么设置open_basedir時就必須
包含/tmp/,否則會導致上傳失敗. 新版php則会提示"open_basedir restriction in effect"
警告信息, 但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道
这是漏洞还是新功能.
================================================================================
[ 本帖最后由 chengkinhung 于 2007-12-23 23:58 编辑 ]
--------------------next---------------------
-
发布于2007-12-23 12:24:41
-
================================================================================
(4) disable_functions: 單獨地屏蔽某些函式(常用于禁止普通用户执行系统函数);
--------------------------------------------------------------------------------
這個指令允許你基於安全原因直接禁止某些确定的函式(通常是攸關系統安全的函數),例如:
disable_functions = shell_exec,system,exec,passthru,show_source,get_cfg_var
disable_functions接受逗號分隔的函式名列表作為參數, 它不受安全模式的影響,而且只能
設置在php.ini中用作全局性配置, 不能將其設置在httpd.conf中針對單獨用戶來進行設置.
从php-4.0.1开始在php.ini里引入了此项功能, 这个功能非常有用, 可以用它禁止用戶使用
一些具有潛在的危险性的函数, 例如: passthru,exec,system,popen 等等. 當您在php.ini
中加上 disable_functions = passthru,exec,system,popen 配置后, PHP在执行这些函数
时就只会顯示錯誤提示: Warning: system() has been disabled for security reasons
下面舉個例子來看看這個安全性設置的重要程度:
我們知道PHP腳本可以采用很多perl的特性,例如通过一种叫shell_exec的方法来执行系统的
命令, 只需在一對反引號(``)中包含調用系統命令的script代碼, 就能執行相應的系統命令.
例如:
$output = `ls /etc -al`;
echo $output;
?>
顯然,如果您的系統不加限制的話,那么任何用戶都可以通過諸如 `cat /etc/passwd` 這樣的
命令攫取系統信息或進行破壞行為. 這對于提供公共服務的ISP供應商來說, 等于是打開自家
金庫大門讓所有客戶自由出入, 而且一旦某些客戶的PHP程序存在安全漏洞(就目前PHP程序員
的平均水準來看,存在嚴重的漏洞基本上是不可避免的)的話, 那么只需最低級的黑客都可以
很簡單地完全操控您的主機了. 因此一定要防止Linux用户在PHP程序中通过``來执行script
脚本,這可以通過在PHP.INI中设置: disable_functions = shell_exec,system,exec 來禁止
PHP調用相關系統函數.
典型的安全性配置,請參考如下設置:
disable_functions = shell_exec,system,exec,passthru,show_source,get_cfg_var
若允许用户调试程序,则可配置如下:
disable_functions = shell_exec,system,exec,passthru
PHP中一些常用但有安全风险的函数:
unlink,mkdir,touch,fgets,popen,proc_open,link,symlink,phpinfo
建議: 应兼顾到商业服务的完整性和安全性,请酌情考虑是否禁止使用它们.
請注意: disable_functions選項不能在php.ini文件外部使用,也就是說您無法在httpd.conf
文件中按不同虛擬主機或不同目錄的方式來屏蔽或者开启函式。
================================================================================
================================================================================
5) register_globals: 禁止注册全局变量;
--------------------------------------------------------------------------------
register_globals = On (自动注册为全局变量)
register_globals = Off (不可注册为全局变量)
一般情況下,用戶都是在HTML網頁里通過HTTP協議,來提交GET,POST和COOKIE數據(簡稱為GPC)
的. 而PHP程序如何獲得用戶提交的這些變量數據,則還需依賴于php.ini配置中一個有爭議的
設置,即是register_globals參數來決定.
顾名思义,register_globals的意思就是注册为全局变量, 所以當設置為On的时候, 通過頁面
传递过来的值就会被直接的注册为全局变量,可以很方便地提供給PHP程序直接使用;而當設置
為Off的时候,PHP程序要使用網頁傳遞過來的變數,就需要到特定的数组里才能得到它.
在PHP4.3.0以后,register_globals默认情况下被设置为Off; 但是几年前,register_globals
的默认值還是打开的,所以現在依然還存在很多需要啟用它的程序代码.
請注意: 當設置為 register_globals = Off 之后,不僅會影響到PHP如何獲取從
-
发布于2007-12-23 12:25:58
-
================================================================================
7) allow_url_fopen和allow_url_include: 禁止读取远程文件
--------------------------------------------------------------------------------
allow_url_fopen = On (允许打开URL文件,預設啟用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,預設關閉)
allow_url_include = On (允许引用URL文件,新版增加功能)
allow_url_fopen 這個命令選項啟動了URL形式的fopen封裝協議, 使得PHP程序可以連接URL
對象(如遠端文件). 預定的封裝協議提供用ftp和http協議來連接遠程文件,一些擴展庫例如
zlib可能會註冊更多的封裝協議. allow_url_include預計是下一個PHP版本將要提供的功能,
用來分離fopen和include函數的遠端調用,現在PHP5.20已經提供了這個選項.
就性能方面來說,PHP所提供的方便的遠程調用確實簡化了很多應用, 但若是從安全角度來看,
允許引用(Include)URL遠端資源,使得PHP應用程序的漏洞變得更加容易被利用, 這種方便性
反而被很多安全研究人員視為一種漏洞(Remote URL Include vulnerabilities), 因此常常
被建議必須在php.ini配置中禁止使用.
PHP的開發者計劃在PHP6版本中提供allow_url_include,現在這個功能已經可以在PHP5.20版
中應用. 禁止allow_url_include解決了遠端引用(Include)的問題, 同時又讓我們還可以在
一般的情形下使用fopen去打開遠端的檔案, 而不必再牽連上打開include函數所帶來的風險.
因此在新版PHP中allow_url_fopen選項預設是打開的,而allow_url_include則預設是關閉的.
然而事實上若從系統角度來看,即使禁止了PHP的allow_url_fopen和allow_url_include功能,
其實也不能完全阻止遠端調用及其所帶來的安全隱憂,而且它們只是保護了標記為URL的句柄,
也就是說只能影響http(s)和ftp(s)的調用, 但對包含其他標記的遠端調用,例如對PHP5.2.0
新版所提供的php和data則無能為力,而這些調用一樣會導致注入風險,請參考如下代碼:
// The following Include statement will
// include and execute everything POSTed
// to the server
include "php://input";
?>
// The following Include statement will
// include and execute the base64 encoded
// payload. Here this is just phpinfo()
include "data:;base64,PD9waHAgcGhwaW5mbygpOz8+";
?>
上述代碼來自網絡,請參考如下網址:
當然在LINUX的系統層級上,還有別的辦法可用來防止遠端調用, 例如使用IPTABLES等防火墻
工具來保護系統,另外PHP應用程序也可以考慮采用curl来讀取遠程文件.
請注意: 只在PHP4.0.3之后的版本中才可以在php.ini配置文件中使用allow_url_fopen選項,
在PHP4.0.3以及之前的版本, 則只能在編譯時通過配置項 --disable-url-fopen-wrapper來
取消此特性. Windows下的PHP在4.3版本之前,相關函式: include, include_once, require,
require_once 不支援遠程文件連接,在PHP4.3版本之後才可以讓這類函式有遠端讀取的能力.
在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_flag allow_url_fopen Off
php_admin_flag allow_url_include Off
或者:
php_admin_value allow_url_fopen 0
php_admin_value allow_url_include 0
================================================================================
================================================================================
8) Error handling and logging: 错误控制和日志
--------------------------------------------------------------------------------
display_errors = On (打开错误显示)
display_errors = Off (关闭错误显示)
PHP缺省是打開錯誤信息顯示的,如果把它改為关闭之后, 那么當PHP函數執行時,其錯誤信息
將不會再顯示給用戶,這樣能在一定程度上防止攻擊者從錯誤信息得知腳本的物理位置,以及
一些其它有用的信息,起碼給攻擊者的黑箱檢測造成一定的障礙.
如果PHP的錯誤信息對我們自己有用,也可以设置成把它寫到日志文件中去,例如:
log_errors = Off (PHP 默认是关闭错误日志的)
log_errors = On (修改为打开并记录错误日志)
如果打开了日志记录,接着還需要指定日志文件,即告诉PHP将错误记录到那个文件中去:
;error_log = filename (默认被分号";"所注釋,修改为如下)
error_log = /var/log/php_error.log
就是把filename改為指定文件"/var/log/php_error.log", 這樣设置以后,所有的PHP錯誤都
将會寫到這個日志文件裡去。
在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_flag display_errors Off
或者:
php_admin_value display_errors 0
为方便区分,可在每个用户的VirtualHost中指定错误日志文件:
ErrorLog logs/mydomain.com-error_log
================================================================================
################################################################################
PHP安全配置范例:
################################################################################
================================================================================
php.ini的安全设置范例:
--------------------------------------------------------------------------------
safe_mode = On
allow_url_fopen = Off
allow_url_include = Off
register_globals = Off
magic_quotes_gpc = On
display_errors = Off
disable_functions = shell_exec,system,exec,passthru,show_source,get_cfg_var
#或者,也可以考虑开放后两个危险系数较低的函数:
disable_functions = shell_exec,system,exec,passthru
open_basedir = .
--------------------------------------------------------------------------------
VirtualHost的一个配置范例:
--------------------------------------------------------------------------------
ServerAdmin [email]webmaster@mydomain[/email]
DocumentRoot /home/hosting/mydomain/public_html
ServerName mydomain.com
ServerAlias
php_admin_value safe_mode 1
php_admin_value allow_url_fopen 0
php_admin_value allow_url_include 0
php_admin_value register_globals 1
php_admin_value magic_quotes_gpc 1
php_admin_value display_errors 0
php_admin_value open_basedir /home/hosting/mydomain/
ErrorLog logs/mydomain.com-error_log
CustomLog logs/mydomain.com-access_log common
#或者:
ServerAdmin [email]webmaster@mydomain[/email]
DocumentRoot /home/hosting/hung25ucom/public_html
ServerName mydomain.com
ServerAlias
php_admin_flag safe_mode On
php_admin_flag allow_url_fopen Off
php_admin_flag allow_url_include Off
php_admin_flag register_globals On
php_admin_flag magic_quotes_gpc On
php_admin_flag display_errors Off
php_admin_value open_basedir /home/hosting/mydomain/
ErrorLog logs/mydomain.com-error_log
CustomLog logs/mydomain.com-access_log common
--------------------------------------------------------------------------------
================================================================================
[ 本帖最后由 chengkinhung 于 2008-3-20 00:03 编辑 ]
-
luren04发布于2008-04-23 10:28:01
-
楼主厉害,一时间看得好晕。
-
menghuixy发布于2008-04-23 11:07:19
-
不要用 繁体字! 我们 看不懂
-
luren04发布于2008-04-23 13:25:57
-
同意楼上的说法,不过自己复制下来转一下也行
--------------------next---------------------