LAMP环境 - HelloWorld开发者社区

11.28 限定某个目录禁止php解析

本节内容应用于对静态文件目录或可写的目录进行优化设置，通过限制解析/访问权限来避免别恶意攻击，提高安全性。

编辑虚拟主机配置文件：

[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 
    <Directory /data/wwwroot/111.com/upload>
        php_admin_flag engine off
    </Directory>

创建相应的目录：

[root@adailinux 111.com]# mkdir upload
……
[root@adailinux 111.com]# ls upload/
123.php  abc.jpg  baidu.png

测试：

[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php' 
<?php
echo "welcom to 123file";
?>

[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:47:16 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png

说明： 在此访问123.php文件时直接显示源代码，即无法进行PHP解析，访问其他类型的文件没问题。

添加PHP访问限制

添加参数“< FilesMatch (.*)\ .php(. *) > ”：

[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    <Directory /data/wwwroot/111.com/upload>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
        Order Allow,Deny
        Deny from all
        </FilesMatch>
    </Directory>

说明： 如果只设置禁止PHP解析，用户访问PHP文件时会显示源代码，添加该参数可以避免用户看到服务器PHP源码，进一步提升安全性。

测试：

[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 04:28:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:29:25 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png

说明： 此时访问123.php的状态码为403，即无法访问！

11.29 限制user_agent

>user_agent（用户代理）：是指浏览器（搜索引擎）的信息包括硬件平台、系统软件、应用软件和用户个人偏好。

需求背景：
有时候网站受到CC攻击，其原理是：攻击者借助代理服务器（肉机）生成指向受害主机的合法请求，实现DDOS和伪装。CC攻击的一个特点就是其useragent是一致的，所以，可以通过限制攻击者useragent的方法来阻断其攻击。

编辑虚拟主机配置文件：

[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 
……
    <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]
    </IfModule>
……

说明： NC表示忽略大小写，OR选项表示或者（不加任何选项表并且）连接下一个条件，F=forbidden禁止。

检测：

[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 06:59:14 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 07:01:01 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' 
welcom to 123file

说明： curl -A 指定useragent。

11.30 PHP相关配置

查看PHP配置文件：

/usr/local/php/bin/php -i|grep -i "loaded configuration file"

PHP参数

设定时区

date.timezone
一些功能选项：

“eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo ”
以上功能选项可以通过“disable_function”来限制，以达到提高网站安全性的目的：

disable_function=

日志相关

display_errors=On/Off :设定是否显示错误原因，需要注意的是，此处设置为off（防止用户看到）后必须设置错误日志,设定保存路径，和错误日志级别，否则将无法查找错误原因。
log_errors=On/Off 开启/关闭错误日志
“error_log=/tmp/” 设定错误日志的保存路径。如果定义好路径后无法生产日志，此时需要检查日志文件所在目录是否有写（w）权限
“error_reporting =” 设定错误日志级别，级别有：E_ ALL 、~~E_ NOTICE 、~~E_ STRICT 、~E_DEPRECATED（可以自由组合）。生产环境使用：E_ ALL & ~E_ NOTICE就可以。

官方说明:

E_ALL (Show all errors, warnings and notices including coding standards.)
E_ALL & ~E_NOTICE  (Show all errors, except for notices)
E_ALL & ~E_NOTICE & ~E_STRICT  (Show all errors, except for notices and coding standards warnings.)
E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR  (Show only errors)

安全参数“open_basedir”

open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory ; or per-virtualhost web server configuration file.
译：如果设置了open_basedir选项，将会把所有关于文件的操作限制在指定目录及其子目录。将该指令设定在每个目录或者虚拟主机web服务器配置文件中非常重要。

说明： php.ini文件中的内容是针对所有虚拟主机进行的配置。

问题： 一台服务器运行着不止一台虚拟主机，所以在该文件下设置该选项并不合适。那么，该如何设定该配置呢？

办法： 分别在每个虚拟主机的配置文件进行相关设置。

[root@adailinux 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

说明： “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可！
在此开放“/tmp/”目录是为了使临时文件能正常写入。

扩展：

apache开启压缩功能

这里的压缩并不是对网站的图片压缩，而是对普通的静态文件，诸如html, js, css 等元素压缩，通过压缩节省带宽资源。

配置

检查本地Apache是否支持压缩功能

/usr/local/apache2/bin/apachectl -l

在此查看是否有“mod_deflate”模块，如果没有，继续查看：

ls /usr/local/apache2/modules/

在此查看有没有“mod_deflate.so”这个文件，如果这里也没有，那说明你的apache不支持压缩，需要重编译一下，或者扩展形式安装，或者重新编译apache, 需要在编译的时候，加上“--enable-deflate=shared”。
添加完成deflate这个模块后开始进行配置：

编辑Apache配置文件httpd.conf：

LoadModule deflate_module modules/mod_deflate.so

DeflateCompressionLevel 5
AddOutputFilterByType DEFLATE text/html text/plain text/xml 
AddOutputFilter DEFLATE js css

其中DeflateCompressionLevel 是指压缩程度的等级，从1到9，9是最高等级。

apache2.2到2.4后配置文件变更

访问控制

Apache2.2 configuration:

Order deny,allow
Deny from all

Apache2.4 configuration：

Require all denied

常用配置有：

Require all denied   
Require all granted   
Require host xxx.com   
Require ip 192.168.1 192.168.2   
Require local

设定log记录方式改变

RewriteLogLevel 指令改为 logLevel。
eg：

LogLevel warn rewrite: warn

NameVirtualhost被移除
模块组：

网站压缩，除了使用mod_ deflate，Apache2.4中还要mod_filter。
使用ssl凭证，除了使用mod_ ssl，Apache2.4中还需要mod_socache _shmcb

Apache 参数（options）

指令控制了在特定目录中将使用哪些服务器特性。Options属性有一个非常特别的功能：如果你没有用“+”或者“-”来增加或者减少一个功能的时候，每个之前定义的Options的所有功能都会被取消，直到你又为它指定一些功能。所以options属性在整体设置和虚拟主机设置的是不相关的，互相不起作用，因为他们在特定的范围内被重载了。如果要在虚拟主机里面使用在整体设置中的Options的设置，那么就不要在虚拟主机设置中指定Options属性。如果要增加或者减少功能，那么用“+”或者“-”符号来实现。Options 指令控制了在特定目录中将使用哪些服务器特性。可选项能设置为 None ，在这种情况下，将不启用任何额外特性。或设置为以下选项中的一个或多个：

All：
除MultiViews之外的所有特性,这是默认设置。
ExecCGI：允许执行CGI脚本
FollowSymLinks：
服务器会在此目录中使用符号连接。
注意： 即便服务器会使用符号连接，但它不会改变用于匹配配置段的路径名。如果此配置位于配置段中，则此设置会被忽略。
Includes ：允许服务器端包含。
IncludesNOEXEC：
允许服务器端包含，但禁用#exec命令和#exec CGI（通用网关接口，是用于初始化软件服务的服务器方接口。）。但仍可以从ScriptAliase目录使用#include 虚拟CGI脚本。
>CGI(Common Gateway Interface)通用网关接口，它是一段程序，运行在服务器上，提供同客户端HTML页面的接口，通俗的讲CGI就像是一座桥，把网页和WEB服务器中的执行程序连接起来，它把HTML接收的指令传递给服务器，再把服务器执行的结果返还给HTML页；用CGI可以实现处理表格，数据库查询，发送电子邮件等许多操作，最常见的CGI程序就是计数器。CGI使网页变得不是静态的，而是交互式的。
Indexes:
如果一个映射到目录的URL被请求，而此目录中又没有DirectoryIndex（例如：index.html），那么服务器会返回一个格式化后的目录列表。
MultiViews: 允许内容协商的多重视图。
SymLinksIfOwnerMatch:
服务器仅在符号连接与其目的目录或文件拥有者具有同样的用户id时才使用它。
注意： 如果此配置出现在配置段中，此选项将被忽略。一般来说，如果一个目录被多次设置了Options，则最特殊的一个会被完全接受，而各个可选项的设定彼此并不融合。然而，如果所有施用于Options指令的可选项前都加有+或-符号，此可选项将被合并。所有前面加有+号的可选项将强制覆盖当前可选项设置，而所有前面有-号的可选项将强制从当前可选项设置中去除。

eg： 如果没有任何+和-符号：
```
Options Indexes FollowSymLinks

Options Includes  
```
则只有Includes设置到/web/docs/spec目录上。然而如果第二个Options指令使用了+和-符号：
```
Options Indexes FollowSymLinks

Options +Includes -Indexes
```
那么就会有FollowSymLinks和Includes设置到/web/docs/spec目录上。

apache禁止trace或track防止xss攻击

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

禁用trace：使用rewrite功能

RewriteEngine On
RewriteCondi %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

或者还可以直接在apache的配置文件中配置相应参数

TraceEnable off

apache配置https支持ssl

> SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS（Transport Layer Security传输层安全）协议，是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密，用于保障网络数据传输安全，利用数据加密技术，确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准，所有主要的浏览器和WEB服务器程序都支持SSL协议，可通过安装SSL证书激活SSL协议。
SSL证书就是遵守SSL协议的服务器数字证书，由受信任的证书颁发机构（CA机构），验证服务器身份后颁发，部署在服务器上，具有网站身份验证和加密传输双重功能。

安装openssl
apache2.0 建议安装0.9版本，我曾经试过2.0.59 对openssl-1.0编译不过去。下载Openssl：http://www.openssl.org/source/

tar -zxf openssl-0.9.8k.tar.gz #解压安装包
cd openssl-0.9.8k #进入已经解压的安装包
./configure #配置安装。推荐使用默认配置
make && make install #编译及安装

openssl默认将被安装到/usr/local/ssl。

让apache支持ssl
编译的时候，要指定ssl支持。

静态

--enable-ssl=static --with-ssl=/usr/local/ssl
动态

--enable-ssl=shared --with-ssl=/usr/local/ssl

其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块，而静态不会有，当然第二种方法也需要在httpd.conf 中加入:

LoadModule ssl_module modules/mod_ssl.so

生成证书

创建私钥
在创建证书请求之前，您需要首先生成服务器证书私钥文件。

cd /usr/local/ssl/bin
#进入openssl安装目录 openssl genrsa -out server.key 2048
#运行openssl命令，生成2048位长的私钥server.key文件。 #如果您需要对server.key添加保护密码，请使用 -des3扩展命令。Windows环境下不支持加密格式私钥，Linux环境下使用加密格式私钥时，每次重启Apache都需要您输入该私钥密码。 #（例：openssl genrsa -des3 -out server.key 2048）

cp server.key /usr/local/apache/conf/ssl.key/
生成证书请求（CSR）文件

openssl req -new -key server.key -out certreq.csr
Country Name： //您所在国家的ISO标准代号，中国为CN
State or Province Name： //您单位所在地省/自治区/直辖市
Locality Name： //您单位所在地的市/县/区
Organization Name： //您单位/机构/企业合法的名称
Organizational Unit Name： //部门名称
Common Name： //通用名，例如：www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address： //您的邮件地址，不必输入，直接回车跳过
"extra"attributes //以下信息不必输入，回车跳过直到命令执行完毕。
备份私钥并提交证书请求
请将证书请求文件certreq.csr提交给天威诚信，并备份保存证书私钥文件server.key，等待证书的签发。服务器证书密钥对必须配对使用，私钥文件丢失将导致证书不可用。

安装证书

获取服务器证书中级CA证书
为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA证书(不同品牌证书，可能只有一张中级证书)，从邮件中获取中级CA证书：

将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到同一个记事本等文本编辑器中，中间用回车换行分隔。修改文件扩展名，保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书，则只需要保存并安装一张中级证书)。
获取EV服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，保存为ssl.crt/server.crt文件。
配置Apache2.0

编辑配置文件httpd.conf，添加如下内容：

Listen  443
NameVirtualHost *:443

    DocumentRoot "/data/web/www"
    ServerName aaa.com:443
    ErrorLog "logs/error.log"
    CustomLog "logs/access.log" combined
     
        SSLEngine on
        SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
        SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
        SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt