Linux服务器中Apache与PHP安全设置笔记(3)

(3) open_basedir: 将用户可操作的文件限制在某目录下;
--------------------------------------------------------------------------------
如下是php.ini中的原文說明以及默認配置:
; open_basedir, if set, limits all file operations to the defined directory
; and below.  This directive makes most sense if used in a per-directory or
; per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = .

open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号"."来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:"open_basedir = /dir/user/"

open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。當其作用于Apache模块时,父目录中的open_basedir路径自动被继承。

有三种方法可以在Apache中为指定的用户做独立的设置:

(a) 在Apache的httpd.conf中Directory的相应设置方法:
<Directory /usr/local/apache/htdocs>
     php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
     php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/
</Directory>

(b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /var/www/html/:/var/tmp/

(c) 因为VirtualHost中設置了open_basedir之后, 這個虛擬用戶就不会再自动继承php.ini中的open_basedir設置值了,这就难以达到灵活的配置措施, 所以建议您不要在VirtualHost中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/, 這個設置表示允许访问当前目录(即PHP腳本文件所在之目錄)和/tmp/目录.

请注意: 若在php.ini所設置的上传文件临时目錄為/tmp/, 那么设置open_basedir時就必須包含/tmp/,否則會導致上傳失敗. 新版php則会提示"open_basedir restriction in effect"警告信息, 但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道这是漏洞还是新功能.

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wypfyx.html