Linux管理員不可不知十大PHP安全要點
PHP是使用最廣泛的指令碼程式語言之一。市場份額頗能說明其主導地位。PHP 7已推出,這個事實讓這種程式語言對當前的開發人員來說更具吸引力。儘管出現了一些變化,但是許多開發人員對PHP的未來持懷疑態度。一個原因是PHP的安全。
PHP的安全是廣大開發人員擔心的主要問題。雖然PHP提供從裡到外的可靠安全,但是需要由開發人員正確地落實這些安全機制。我們在本文中將為Linux管理員介紹幾個PHP安全要點。這些要點將幫助你確保Web應用程式安全,並確保從長遠來看正常執行。
在我們開始之前,有必要了解一下我們所要處理的系統。出於演示的需要,我們使用Fedora。然而,這些要點應該適用於Ubuntu版本或其他任何Linux發行版。檢視你作業系統發行版的使用手冊,即可瞭解更多資訊。
不妨仔細看一下我們系統環境的幾個關鍵檔案。你的檔案應該類似或對應於下列:
- 預設的Web伺服器:Apache
- DocumentRoot:/var/www/html
- PHP配置檔案:/etc/php.ini
- 擴充套件配置目錄:/etc/php.d/
- 安全檔案:/etc/php.d/security.ini
這些技巧將保護你的網站,避免不同型別的常見攻擊,比如SQL隱碼攻擊、XSS、跨站請求偽造攻擊、eval()和檔案上傳等攻擊。可在此(https://www.sitepoint.com/top-10-php-security-vulnerabilities/)檢視常見攻擊列表。
1. 刪除不必要的模組
PHP隨帶內建的PHP模組。它們對許多工來說很有用,但是不是每個專案都需要它們。只要輸入下面這個命令,就可以檢視可用的PHP模組:
# php - m
一旦你檢視了列表,現在可以刪除不必要的模組。減少模組的數量有助於提高你所處理的Web應用程式的效能和安全。
2. 限制PHP資訊洩露
平臺洩露關鍵資訊司空見慣。比如說,PHP會洩露一些資訊,比如版本以及它安裝到伺服器上的事實。這可以通過expose_php命令來實現。為了防止洩露,你需要在/etc/php.d/security.ini中將該命令設成off。
expose_php=Off
如果你需要了解版本及其狀態,只要針對網站地址執行一個簡單的Curl命令就可以獲得該資訊。
Curl - I http://www.livecoding.tv/index.php
之前的命令會返回下列資訊:
HTTP/1.1 200 OK X-Powered-By: PHP/7.0.10 Content-type: text/html; charset=UTF-8
3. 禁用遠端程式碼執行
遠端程式碼執行是PHP安全系統方面的常見安全漏洞之一。預設情況下,遠端程式碼執行在你的系統上已被啟用。“allow_url_fopen”命令允許請求(require)、包括(include)或可識別URL的fopen包裝器等函式可以直接訪問PHP檔案。遠端訪問通過使用HTTP或FTP協議來實現,會導致系統無力防禦程式碼注入安全漏洞。
為了確保你的系統安全可靠、遠離遠端程式碼執行,你可以將該命令設成“Off”,如下所示:
Allow_url_fopen=Off allow_url_include=Off
4. 將PHP錯誤記入日誌
加強Web應用程式安全的另一個簡單方法就是,不向訪客顯示錯誤。這將確保黑客根本無法危及網站的安全性。需要在/etc/php.d/security.ini檔案裡面進行編輯。
display_errors=Off
現在你可能會想:完成這一步後,“開發人員在沒有錯誤資訊的幫助下如何除錯?”開發人員可以使用log_errors命令來用於除錯。他們只需要在security.ini檔案中將log_errors命令設成“On”。
log_errors=On error_log=/var/log/httpd/php_scripts_error.log
5. 合理控制資源
為了確保應用程式的安全,控制資源很重要。為了確保適當的執行和安全,你就要對PHP指令碼執行予以限制。此外,還應該對花在解析請求資料上的時間予以限制。如果執行時間受到控制,指令碼使用的記憶體等其他資源也應該會得到相應配置。所有這些度量指標可通過編輯security.ini檔案來加以管理。
# set in seconds max_execution_time = 25 max_input_time = 25 memory_limit = 30M
6. 禁用危險的PHP函式
PHP隨帶用於開發的實用函式,但是也有可能被黑客用來闖入Web應用程式的大量函式。禁用這些函式可以提高總體安全性,並確保你沒有受到危險的PHP函式的影響。
為此,你先要編輯php.ini檔案。一旦進入該檔案,找到disable_functions命令,禁用裡面的危險函式。為此,你只要拷貝/貼上下列程式碼。
disable_functions =exec,passthru, shell_exec,system,proc_open,popen,curl_exec, curl_multi_exec,parse_ini_file,show_source
你可以在此(https://www.eukhost.com/blog/webhosting/dangerous-php-functions-must-be-disabled/)進一步瞭解禁用危險的PHP函式。
7. 上傳檔案
如果你的應用程式不需要上傳任何檔案,禁用上傳檔案的功能有助於提高安全。想禁止使用者上傳檔案,只需要編輯/etc/php.d/目錄下的security.ini檔案,將file_uploads命令設成OFF。
file_uploads=Off
8. 保持版本最新
開發人員在24/7不間斷地工作,給你使用的技術打上補丁。PHP也是一樣。由於它有一個開源社群,補丁和修正版定期釋出。更新版還為首日漏洞及其他安全漏洞提供了安全補丁。如果你注重應用程式的安全性,就要始終確保你的PHP解決方案是最新版本。另外,給其他相關技術打上最新的補丁可以確保最大限度的安全。
9.控制檔案系統訪問
預設情況下,PHP可使用fopen()等函式來訪問檔案。open_basedir命令提供了訪問。首先,始終要將open_basedir命令設成/var/www/html目錄。將它設成其他任何目錄會導致安全問題。
open_basedir="/var/www/html/"
10. 控制POST大小
我們的最後一個PHP安全要點是控制POST大小函式。HTTP POST函式使用客戶端的瀏覽器,將資料傳送到Web伺服器。比如說,使用者可能上傳證照,然後傳送到Web瀏覽器以便處理。一切都執行順暢,直到有一天黑客企圖傳送龐大的檔案來耗盡伺服器資源。這很可能會導致伺服器崩潰或響應緩慢。為了保護伺服器遠離這個漏洞,就需要設定POST大小。POST大小可以在/etc/php.d/security.ini檔案裡面加以設定。
post_max_size=1k
結束語
安全是廣大Web開發人員和Linux管理員最關注的問題之一。如果採取了上述要點,你勢必可以加強開發環境和PHP Web應用程式方面的安全。要是你認為我們遺漏了重要的內容,歡迎留言補充。
相關文章
- 消滅 Bug!推薦5款測試員不可不知的bug管理工具!
- Google員工管理十大定律Go
- 國內外最好用的6款Bug跟蹤管理軟體,測試員不可不知!
- 你不可不知道的20個優秀PHP框架PHP框架
- 程式設計師不可不知的Linux效能工具程式設計師Linux
- 軟體測試培訓:不可不知的十大軟體測試工具
- 不可不知的資源管理排程器Hadoop YarnHadoopYarn
- 資料庫管理員站點資料庫
- 不可不知的 JVM 預熱JVM
- 不可不知的WPF動畫(Animation)動畫
- linux 安裝yum 安裝phpLinuxPHP
- linux + php 安裝curlLinuxPHP
- Linux下安裝phpLinuxPHP
- Java不可不知的泛型使用Java泛型
- 不可不知的 7 個 JDK 命令JDK
- 不可不知的python模組–collectionsPython
- 不可不知的WPF畫筆(Brush)
- linux5.4安裝phpLinuxPHP
- 點評2009年PHP十大圖書(1)PHP
- Linux 管理員手冊(4)--記憶體管理(轉)Linux記憶體
- Linux網路管理員手冊 (轉)Linux
- JAVA棧操作 Stack——不可不知的操作Java
- 不可不知的垃圾收集演算法演算法
- 不可不知的軟體架構模式架構模式
- 你不可不知的 HTML 優化技巧HTML優化
- 你不可不知的HTML優化技巧HTML優化
- 你不可不知的10個Github功能Github
- Dilate:不可不知的SEO策略(資訊圖)
- 不可不知的WPF形狀(Shape)
- LINUX 安裝與管理Linux
- 收藏!醫療器械出海美國網路安全要求盤點
- Linux 管理員手冊(1)--Linux系統概述(轉)Linux
- Linux 編譯 安裝 PHP 7.3.1Linux編譯PHP
- linux解除安裝mysql,apache,phpLinuxMySqlApachePHP
- Linux網路管理員手冊(8) 第八章 點對點協議 PTP PPP LCP (轉)Linux協議
- The Linux-PAM 系統管理員指南(轉)Linux
- Linux 管理員手冊(8)--備份(轉)Linux
- AWK :Linux 管理員的智慧工具包Linux