linux学习第四十二篇:限定某个目录禁止解析php, 限制user_agent,PHP相关配置
限定某个目录禁止解析php
- 虚拟主机配置文件添加的核心配置内容:
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off //在upload目录下禁止解析php
<FilesMatch *.php(.*)> //这行以及以下两行的意思就是
//让php的文件访问受到限制,防止php文件的源代码被查看
Order allow,deny
Deny from all
</FilesMatch>
</Directory>
- 保存后记得测试语法以及加载配置文件。在/data/wwwroot/111.com/目录下创建upload目录,在upload下创建编辑php文件,内容可以为:
<?
echo "123.php";
?>
- curl测试时直接返回了php源代码,并未解析 此时没有加上FilesMatch那几行配置,只有php_admin_flag engine off这行配置,所以访问时返回了php源代码,并未解析:
加上FilesMatch几行配置之后,访问php文件会出现403状态码,所以访问受到限制,就无法去解析php,也无法看到php的源代码:
- PS:一般静态文件目录下是不允许存放php的
限制user_agent
user_agent可以理解为浏览器标识,针对user_agent来限制一些访问,比如可以限制一些不太友好的搜索引擎“爬虫”,你之所以能在百度搜到一些论坛,就是因为百度会派一些“蜘蛛爬虫”过来抓取网站数据。“蜘蛛爬虫”抓取数据类似于用户用浏览器访问网站,当“蜘蛛爬虫”太多或者访问太频繁,就会浪费服务器资源。另外,也可以限制恶意请求,这种恶意请求我们通常称作cc攻击,他的原理很简单,就是用很多用户的电脑同时访问同一个站点,当访问量或者频率达到一定层次,会耗尽服务器资源,从而使之不能正常提供服务。这种cc攻击其实有很明显的规律,其中这些恶意请求的user_agent相同或者相似,那我们就可以通过限制user_agent发挥防攻击的作用。
- 下面是针对user_agent来做访问限制的核心配置文件内容:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]
//OR是或者的意思,user_agent匹配curl或者匹配baidu.com
//NC是忽略大小写
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
RewriteRule .* - [F] //F是Forbidden
</IfModule>
- curl -A “xie xie” 指定user_agent 如果不指定user_agent,那么curl作为user_agent会被限制访问
使用参数 -A 指定了别的user_agent后就可以访问 PS:curl的 -A是指定user_agent -e 是指定referer -I 查看状态码
PHP相关配置
- 查看php配置文件位置 /usr/local/php/bin/php -i|grep -i “loaded configuration file” 第一行为警告信息,可以忽略,取消这个警告需要编辑php.ini,找到date.timezone并设置为:date.timezone = Asia/Shanghai
如果没有就需要进入源码包里:cd /usr/local/src/php-5.6.30/ 在源码包里复制php.ini到php的安装目录中:cp php.ini-development /usr/local/php5/etc/php.ini
- PHP有诸多内置的函数,有一些函数(exec)会直接调取linux系统命令,如果开放将会非常危险。因此,基于安全考虑应该把一些存在安全风险的函数禁掉,编辑php.ini:vim /usr/local/php/etc/php.ini,搜索找到disable_functions,disable_functions默认是空的,把eval等所有函数加上。 disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 很多企业会把phpinfo也加上禁掉,因为有时候会不小心写了一个phpinfo的一个页面上传到线上去,然后被一些黑客扫到,能够看到你系统的一些目录。
配置完disable_functions之后访问网站就会出现这样:
- display_errors如果为on就会出现上图网站中错误信息,这容易被人看到你的系统目录,所以需要把display_errors改为Off:
- log_errors 是否记录错误日志,在配置文件中是On开启的 error_log 设定错误日志的路径
error_reporting 设定错误日志的级别,E_All 为所有类型的日志,不管是提醒还是警告都会记录。一般为E_ALL & ~E_NOTICE,排除掉notice相关的日志
- open_basedir的作用是将网站限定在指定目录里,就算该站点被黑了,黑客只能在该目录下面有所作为,而不能左右其他目录。如果你的服务器只有一个站点那可以直接在php.ini中设置open_basedir参数。但如果服务器上跑的站点比较多,那在php.ini中设置就不合适了,因为在php.ini中只能定义一次,也就是说所有站点都一起定义限定的目录,那这样似乎起不到隔离多个站点的目的。 open_basedir可以是多个目录,用:分隔,这里设定的是只可以在1111.com目录和tmp目录下活动
用curl测试,发现500状态码,日志里也说明了只允许在1111.com目录和tmp目录下活动
- 可以在Apache虚拟主机配置文件中添加下列的配置语句,可以针对不同的虚拟主机设置不同的open_basedir,除此之外像error_log之类的也可以定义(PS:为什么要带tmp,因为默认的临时文件是放在tmp,如果不加tmp,就是把tmp限制了,它连自己的临时文件都写不了): php_admin_value open_basedir “/data/wwwroot/111.com:/tmp/”
扩展 apache开启压缩 http://ask.apelearn.com/question/5528 apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292 apache options参数 http://ask.apelearn.com/question/1051 apache禁止trace或track防止xss http://ask.apelearn.com/question/1045 apache 配置https 支持ssl http://ask.apelearn.com/question/1029
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android实现Camera2预览和拍照效果
- Android开发实现webview中img标签加载本地图片的方法
- Android实现二级列表购物车功能
- Android开发仿bilibili刷新按钮的实现代码
- Android获取系统储存以及内存信息的方法(二)
- Android实现简单购物车功能
- 详解升级Android Studio3.0时遇到的几个问题
- Android 动态加载二维码视图生成快照的示例
- 使用Mybatis反配置逆向工程,错误eg:This is not a MyBatis Generator Configu
- DTS(数据库传输服务)
- R语言关联挖掘实例(购物篮分析)
- 用R语言中的神经网络预测时间序列:多层感知器和极限学习机
- 基于R语言股票市场收益的统计可视化分析
- Mac系统R语言升级后无法加载包报错 package or namespace load failed in dyn.load
- 如何从xml文件创建R语言数据框dataframe