擴充:
11.28 限定某個目錄禁止解析php
通路控制 – 禁止php解析
1. 編輯虛拟主機配置檔案,針對網站下的目錄設定禁止解析php檔案!:
[root@hao-01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
#<FilesMatch (.*)\.php(.*)>
#Order allow,deny
#Deny from all
#</FilesMatch>
</Directory>
2. 建立目錄:
[root@hao-01 ~]# mkdir /data/wwwroot/111.com/upload
3. 建立編輯123.php到upload目錄下:
[root@hao-01 ~]# vim /data/wwwroot/111.com/upload/123.php
插入内容:
<?php
echo "123.php";
4. 檢測虛拟機配置檔案是否有錯誤:
[root@hao-01 ~]# /usr/local/apache2.4/bin/apachectl -t
3. 啟動apache2.4/httpd:
[root@hao-01 apache2.4]# /usr/local/apache2.4/bin/apachectl start
4. 重新加載配置檔案(不會重新開機服務)
[root@hao-01 ~]# /usr/local/apache2.4/bin/apachectl graceful
5. curl通路111.com網站下的限定禁止解析目錄upload下檔案:
php解析不了,會顯示源代碼!(源代碼顯示出不安全,建議把注釋掉的打開,直接403!)
[root@hao-02 ~]# curl -x127.0.0.1:80 'http://111.com/upload/123.php'
6. 編輯虛拟主機配置檔案:
打開删除FilesMatch (.*)\.php(.*)這個配置所有行前的注釋符#
<FilesMatch (.*)\.php(.*)>
Order allow,deny
Deny from all
</FilesMatch>
7. curl通路111.com網站下的限定禁止解析目錄upload下檔案:
[root@hao-02 ~]# curl -x127.0.0.1:80 'http://111.com/upload/123.php
11.29 限制user_agent
user_agent可以了解為浏覽器辨別
核心配置檔案内容
1. 編輯虛拟主機配置檔案:
(curl 和baidu.com是被比對篩選的關鍵詞,NC是區分大小寫,OR是或者)
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
RewriteRule .* - [F]
</IfModule>
2. 檢測虛拟機配置檔案是否有錯誤:
3. 重新加載配置檔案(不會重新開機服務)
4. curl 測試:
[root@hao-01 ~]# curl -x127.0.0.1:80 'http://111.com/123.php'
5. 檢視通路日志:
[root@hao-01 ~]# tail /usr/local/apache2.4/logs/111.com-access_20170708.log
6. curl -A 指定user_agent(hao hao 就是模拟指定的)
[root@hao-01 ~]# curl -A "hao hao" -x127.0.0.1:80 'http://111.com/123.php' -I
7. 檢視通路日志:
11.30 PHP相關配置(上)11.31 PHP相關配置(下)
1. 在111網站根目錄下,建立index.php,内容如下:
[root@hao-01 ~]# vi /data/wwwroot/111.com/index.php
phpinfo();
2. 拷貝:
cp /usr/local/src/php-5.6.30/php.ini-development /usr/local/php/etc/php.ini
4. 在Windows遊覽器中,通路111網站的index.php,就可以看到php.ini所在路徑了,可以在php.ini這個檔案中做些配置:
5. 編輯php.ini,安全選項,禁掉這些參數:
[root@hao-01 ~]# vim /usr/local/php/etc/php.ini
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close
6. 編輯php.ini,安全選項,避免報警:
修改内容:
date.timezone = Asia/Chongqing
7. 編輯php.ini,安全選項,有錯誤不會在遊覽器中顯示出:
display_errors = Off
8. 編輯php.ini,配置錯誤日志路徑:
修改指定錯誤日志路徑:
error_log = /tmp/php_errors.log
9. 建立錯誤日志:
[root@hao-01 ~]# touch /tmp/php_errors.log
10. 給錯誤日志增加777權限,這樣有錯誤就可以正常寫入:
[root@hao-01 ~]# chmod 777 /tmp/php_errors.log
11. 編輯虛拟主機配置檔案,限制主機的open_basedir:
對應的虛拟主機,添加對應的網站來限制:
php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp/"
本文轉自 主内安詳 51CTO部落格,原文連結:http://blog.51cto.com/zhuneianxiang/1953460,如需轉載請自行聯系原作者
![Apache靜态檔案通路配置(書封伺服器)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)