Linux下PHP+Apache的26个必知的安全设置(3)
我还建议,你应在httpd.conf中执行ServerTokens和ServerSignature命令,隐藏Apache版本及其他信息(http://www.cyberciti.biz/faq/rhel-centos-hide-httpd-version/)。
第4个设置项:尽量减少可装入的PHP模块(动态加载模块)
PHP支持“动态加载模块”(Dynamic Extensions)。默认情况下,RHEL装入/etc/php.d/目录里面的所有加载模块。要启用或禁用某一个模块,只要在/etc/php.d/目录中找到配置文件、为模块名称添加注释。你还可以更名或删除模块配置文件。想获得最佳的PHP性能和安全,你应该只启用Web应用程序需要的加载模块。比如说,要禁用gd加载模块,输入以下命令:
#cd/etc/php.d/ # mv gd.{ini,disable} # /sbin/servicehttpd restart
要启用名为gd的php模块,请输入:
# mv gd.{disable,ini} # /sbin/service httpd restart
第5个设置项:将所有PHP错误记入日志
别让PHP错误信息暴露在网站的所有访客面前。编辑/etc/php.d/security.ini,执行以下指令:
display_errors=Off
确保你将所有PHP错误记入到日志文件中(http://www.cyberciti.biz/tips/php-howto-turn-on-error-log-file.html):
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
第6个设置项:不允许上传文件
出于安全原因,编辑/etc/php.d/security.ini,执行以下命令:
file_uploads=Off
如果使用你应用程序的用户需要上传文件,只要设置upload_max_filesize(http://www.cyberciti.biz/faq/linux-unix-apache-increase-php-upload-limit/),即可启用该功能,该设置限制了PHP允许通过上传的文件的最大值:
file_uploads=On
用户通过PHP上传的文件最大1MB
upload_max_filesize=1M
第7个设置项:关闭远程代码执行
如果启用,allow_url_fopen允许PHP的文件函数——如file_get_contents()、include语句和require语句——可以从远程地方(如ftp或网站)获取数据。
allow_url_fopen选项允许PHP的文件函数——如file_get_contents()、include语句和require语句——可以使用FTP或HTTP协议,从远程地方获取数据。
编程员们常常忘了这一点,将用户提供的数据传送给这些函数时,没有进行适当的输入过滤,因而给代码注入安全漏洞留下了隐患。基于PHP的Web应用程序中存在的众多代码注入安全漏洞是由启用allow_url_fopen和糟糕的输入过滤共同引起的。编辑/etc/php.d/security.ini,执行以下指令:
allow_url_fopen=Off
出于安全原因,我还建议禁用allow_url_include:
allow_url_include=Off
第8个设置项:启用SQL安全模式
编辑/etc/php.d/security.ini,执行以下指令: