前面象Shaun Clowes和rfp等都比較詳細的介紹了php、cgi程式在程式設計過程中遇到的問題,以及如何透過應用程式漏洞突破系統,這篇文章我們來透過對php的一些
伺服器端特性來進行配置加強php的安全。寫cgi腳本的時候我們的確一定注意各種安全問題,對用戶輸入進行嚴格的過濾,但是常在岸邊走哪有不濕鞋,吃燒餅哪有
不掉芝麻,人有失蹄馬有失手,連著名的phpnuke、phpMyAdmin等程式都出現過很嚴重的問題,更何況像我等小混混寫的腳本。所以現在我們假設php腳本已經出現嚴重問題,例如像前一陣子 phpnuke的可以上傳php腳本的大問題了,我們如何透過對伺服器的配置使腳本出現如此問題也不能突破 系統。
1、編譯的時候注意補上已知的漏洞
從4.0.5開始,php的mail函數加入了第五個參數,但它沒有好好過濾,使得php 應用程式能突破safe_mode的限製而去執行命令。所以使用4.0.5和4.0.6的時候
在編譯前我們需要修改php源碼包裡 ext/standard/mail.c文件,禁止mail函數的第五參數或過濾shell字元。在郵件.c 檔案的第152行,也就是下面這行:
if (extra_cmd != NULL) {
後面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);
然後修補php,那麼我們就修補了這個漏洞。
2、修改php.ini設定檔
以php發行版的php.ini-dist為藍本進行修改。
1)Error handling and logging
在Error handling and logging部分可以做一些設定。先找到:
display_errors = On
php缺省是打開錯誤訊息顯示的,我們把它改為:
display_errors = Off
關閉錯誤顯示後,php函數執行錯誤的資訊將不會再顯示給用戶,這樣能在某種程度上防止攻擊者從錯誤訊息得知腳本的物理位置,以及一些其它有用的信息,起碼給攻擊者的黑箱檢測造成一定的障礙。這些錯誤訊息可能對我們自己有用,可以讓它寫到指定文件中去,那麼修改以下:
log_errors = Off
改為:
log_errors = On
以及指定文件,找到下面這行:
;error_log filename
去掉前面的;註釋,把filename改為指定文件,如
/usr/local/apache/logs/php_error.log
error_log = /usr/local/apache/logs/php_error.都會寫到php_error.log檔裡。
2)Safe Mode
php的safe_mode功能對許多函數進行了限製或停用了,能在很大程度上解決php的安全問題。在Safe Mode部分找到:
safe_mode = Off
改為:
safe_mode = On
這 樣就開啟了safe_mode功能。像一些能執行系統指令的函式shell_exec()和``被禁止,其它的一些執行函式如:exec(), system(), passthru(), popen()將被限制只能執行safe_mode_exec_dir指定目錄下的程式.如果你實在是要執行一些指令或程序,找到以下:
safe_mode_exec_dir =
指定要執行的程式的路徑,例如:
safe_mode_exec_dir = /usr/local/php/exec
usr/local/php/exec目錄下,這樣,像上面的被限制的函式還能執行該目錄裡的程式。
關於安全模式下受限函數的詳細資訊請查看php主站的說明:
[url]http://www.php.net/manual/en/features.safe-mode.php[/url]
3)disable_functions
如果你對某些函數的危害性不太清楚,而且也沒有使用,索性把這些函數禁止了。找出下面這行:
disable_functions =
在」=「後面加上要禁止的函數,多個函數用「,」隔開。
3、修改httpd.conf
如果你只允許你的php腳本程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。例如你的web目錄是/usr/local/apache/htdocs,那麼在
httpd.conf裡面加上這麼幾行:
php_admin_value open_basedir /usr/local/apache/htdocs
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/File is in wrong directory in /usr/local/File apache/htdocs/open.php on line 4 等等。
4、對php程式碼進行編譯
Zend對php的貢獻很大,php4的引擎就是用Zend的,而且它也開發了ZendOptimizer和ZendEncode等許多php的加強元件。優化器 ZendOptimizer只需在 [url]http://www.zend.com[/url]註冊就可以免?... 直鴯鯽緣南低常?/a>
ZendOptimizer-1[1 ].1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz
ZendOptimizer-1[1].1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
ZOptimizer-PH0.1. 0.5-Solaris-sparc.tar.gz
ZendOptimizer-1[1].1.0-PHP_4.0.5-Windows-i386.zip
優化器的安裝非常方便,包裡面都有詳細說明的說明。以UNIX版本的為例,看清作業系統,把包包裡的ZendOptimizer.so檔案解壓縮到一個目錄,假設是/usr/local/lib
下,在php.ini裡加上兩句:
zend_optimizer.optimization_level= 15
zend_extension="/usr/local/lib/ZendOptimizer.so"
就可以了。用phpinfo()看到Zend圖示左邊有下面文字:
with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies
那麼,優化器已經掛接成功了。
但是編譯器ZendEncode並不是免費的,這裡提供給大家一個[url]http://www.PHPease.com[/url]的馬勇設計... 糜諫桃的康模胗?/a > [url]http://www.zend.com[/url]聯絡取得授權協議。
php腳本編譯後,腳本的執行速度增加不少,腳本文件只能看到一堆亂碼,這將阻止攻擊者進一步分析伺服器上的腳本程序,而且原先在php腳本里以明文存儲的口令也得到了保密,如mysql的口令。不過在伺服器端改腳本就比較麻煩了,還是本地改好再上傳吧。
5、檔案及目錄的權限設定
web 目錄裡除了上傳目錄,其它的目錄和檔案的權限一定不能讓nobody使用者有寫 權限。否則,攻擊者可以修改主頁文件,所以web目錄的權限一定要設定好。還有,php腳本的屬主千萬不能是root,因為safe_mode下讀文件的函數被限製成被讀文件的屬主必須和當前執行腳本的屬主是一樣才能被讀,否則如果錯誤顯示打開的話會顯示以下的錯誤:
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htons/open. line 3
這樣我們能防止許多系統檔案被讀,例如:/etc/passwd等。
上傳目錄和上傳腳本的屬主也要設成一樣,否則會出現錯誤的,在safe_mode下這些要注意。
6、mysql的啟動權限設定
mysql要注意的是不要用root來啟動,最好另外建造一個mysqladm用戶。可以在/etc/rc.local等系統啟動腳本裡面加上一句:
su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"
這樣系統重新啟動後,也會自動用mysqladmin使用者啟動mysql進程。
7、日誌檔案及上傳目錄的審核及
查看日誌和人的惰性有很大關係,要從那麼大的日誌檔案裡查找攻擊痕跡有些大海撈針,而且也未必有。 web上傳的目錄裡的文件,也應該經常檢查,也許程式有問題,用戶傳上了一些非法的文件,例如執行腳本等。
8、作業系統本身的修補程式
一樣,給系統已知漏洞的修補程式是系統管理員最基本的職責,這也是最後一道防線。
經過以上的配置,雖然說不上固若金湯,但是也在相當程度上給攻擊者的測試造成很多麻煩,即使php腳本程序出現比較嚴重的漏洞,攻擊者也無法造成實際性的破壞。