PHP是廣泛使用的開源服務(wù)端腳本語言。通過HTTP或HTTPS協(xié)議，Apache Web服務(wù)允許用戶訪問文件或內(nèi)容。服務(wù)端腳本語言的錯(cuò)誤配置會(huì)導(dǎo)致各種問題。因此，PHP應(yīng)該小心使用。以下是為系統(tǒng)管理員準(zhǔn)備的，安全配置PHP的25個(gè)實(shí)踐事例。

用于下文的PHP設(shè)置樣例

DocumentRoot：/var/www/html

默認(rèn)Web服務(wù)：Apache（可以使用Lighttpd或Nginx代替）

默認(rèn)PHP配置文件：/etc/php.ini

默認(rèn)PHP Extensions配置目錄：/etc/php.d/

PHP安全配置樣例文件：/etc/php.d/security.ini（需要使用文本編輯器創(chuàng)建這個(gè)文件）

操作系統(tǒng)：RHEL / CentOS / Fedora Linux（指令應(yīng)該可以在所有其他Linux發(fā)行版，如Debian / Ubuntu，或是Unix-like的操作系統(tǒng)，如OpenBSD / FreeBSD / HP-UX下正常運(yùn)行）

PHP服務(wù)的默認(rèn)TCP/UDP端口：none

下午列出的大部分操作，都是基于 root 用戶能在 bash 或其他現(xiàn)代 shell 上執(zhí)行操作的假設(shè)。

$ php -v

樣例輸出

PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41) Copyright (c) 1997-2010 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies

本文使用的操作系統(tǒng)

$ cat /etc/redhat-release

樣例輸出

Red Hat Enterprise Linux Server release 6.1 (Santiago)

#1：知彼

基于PHP的應(yīng)用面臨著各種各樣的攻擊：

XSS：對(duì)PHP的Web應(yīng)用而言，跨站腳本是一個(gè)易受攻擊的點(diǎn)。攻擊者可以利用它盜取用戶信息。你可以配置Apache，或是寫更安全的PHP代碼（驗(yàn)證所有用戶輸入）來防范XSS攻擊

SQL注入：這是PHP應(yīng)用中，數(shù)據(jù)庫層的易受攻擊點(diǎn)。防范方式同上。常用的方法是，使用mysql_real_escape_string()對(duì)參數(shù)進(jìn)行轉(zhuǎn)義，而后進(jìn)行SQL查詢。

文件上傳：它可以讓訪問者在服務(wù)器上放置（即上傳）文件。這會(huì)造成例如，刪除服務(wù)器文件、數(shù)據(jù)庫，獲取用戶信息等一系列問題。你可以使用PHP來禁止文件上傳，或編寫更安全的代碼（如檢驗(yàn)用戶輸入，只允許上傳png、gif這些圖片格式）

包含本地與遠(yuǎn)程文件：攻擊者可以使遠(yuǎn)程服務(wù)器打開文件，運(yùn)行任何PHP代碼，然后上傳或刪除文件，安裝后門?？梢酝ㄟ^取消遠(yuǎn)程文件執(zhí)行的設(shè)置來防范

eval()：這個(gè)函數(shù)可以使一段字符串如同PHP代碼一樣執(zhí)行。它通常被攻擊者用于在服務(wù)器上隱藏代碼和工具。通過配置PHP，取消eval()函數(shù)調(diào)用來實(shí)現(xiàn)

Sea-surt Attack（Cross-site request forgery，CSRF?？缯菊?qǐng)求偽造）：這種攻擊會(huì)使終端用戶在當(dāng)前賬號(hào)下執(zhí)行非指定行為。這會(huì)危害終端用戶的數(shù)據(jù)與操作安全。如果目標(biāo)終端用戶的賬 號(hào)用于管理員權(quán)限，整個(gè)Web應(yīng)用都會(huì)收到威脅。

#2：減少內(nèi)建的PHP模塊

執(zhí)行下面指令可以查看當(dāng)前PHP所編譯的模塊

$ php -m

樣例輸出：

[PHP Modules] apc bcmath bz2 calendar Core ctype curl date dom ereg exif fileinfo filter ftp gd gettext gmp hash iconv imap json libxml mbstring memcache mysql mysqli openssl pcntl pcre PDO pdo_mysql pdo_sqlite Phar readline Reflection session shmop SimpleXML sockets SPL sqlite3 standard suhosin tokenizer wddx xml xmlreader xmlrpc xmlwriter xsl zip zlib [Zend Modules] Suhosin

從性能與安全性的角度考慮，我建議使用PHP時(shí)減少不必要的模塊。例如上面的sqlite3是不必要的。那么可以通過刪除或重命名/etc/php.d/sqlite3.ini文件來取消它：

# rm /etc/php.d/sqlite3.ini

或

# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disable

有些模塊則只能通過使用重新編譯安裝PHP來移除。例如，從php.net下載PHP源碼后，使用下面指令編譯GD，fastcgi和MySQL支持：

./configure --with-libdir=lib64 --with-gd --with-mysql --prefix=/usr --exec-prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/usr/com --mandir=/usr/share/man --infodir=/usr/share/info --cache-file=../config.cache --with-config-file-path=/etc --with-config-file-scan-dir=/etc/php.d --enable-fastcgi --enable-force-cgi-redirect

更多信息請(qǐng)查看：how to compile and reinstall php on Unix like operating system

#3：防止PHP信息泄漏

可以通過取消export_php，對(duì)PHP信息泄漏進(jìn)行限制。編輯/etc/php.d/security.ini如下：

expose_php=Off

expose_php會(huì)在HTTP Header中添加服務(wù)器上，包括版本在內(nèi)的PHP信息（例如X-Powered-By: PHP/5.3.3）。同時(shí)，PHP的全局統(tǒng)一標(biāo)識(shí)符也會(huì)暴露。如果export_php啟用的話，可以通過下面命令查看PHP版本信息：

$ curl -I http://www.cyberciti.biz/index.php

樣例輸出：

HTTP/1.1 200 OK X-Powered-By: PHP/5.3.3 Content-type: text/html; charset=UTF-8 Vary: Accept-Encoding, Cookie X-Vary-Options: Accept-Encoding;list-contains=gzip,Cookie;string-contains=wikiToken;string-contains=wikiLoggedOut;string-contains=wiki_session Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT ...

建議同時(shí)隱藏Apache版本等信息：ServerTokens and ServerSignature directives in httpd.conf to hide Apache version

#4：最小化可載入的PHP模塊（動(dòng)態(tài)Extension）

PHP支持“Dynamic Extensions”。默認(rèn)情況下，RHEL會(huì)載入/etc/php.d/目錄下的所有Extension模塊。如需啟用或取消某一模塊，只需把 /etc/php.d/目錄下配置文件把該模塊注釋掉。也可以把文件刪除或重命名該模塊的配置文件。為了最優(yōu)化PHP的性能和安全性，應(yīng)只啟用Web應(yīng)用 所需的Extension。例如，用下面命令取消GD模塊：

# cd /etc/php.d/ # mv gd.{ini,disable} # <span style="text-decoration: underline;">/sbin/service httpd restart</span>

啟用則是：

# mv gd.{disable,ini} # <span style="text-decoration: underline;">/sbin/service httpd restart</span>

#5：記錄所有PHP錯(cuò)誤

不要把PHP錯(cuò)誤信息輸出給所用用戶。編輯/etc/php.d/security.ini，如下修改：

display_errors=Off

確保把所有錯(cuò)誤信息記錄到日志文件

log_errors=On error_log=/var/log/httpd/php_scripts_error.log

#6：禁止文件上傳

為安全考慮，如下編輯/etc/php.d/security.ini取消文件上傳

file_uploads=Off

如用戶的確需要上傳文件，那么把它啟用，而后限制PHP接受的最大文件大?。?/p>

file_uploads=On # user can only upload upto 1MB via php upload_max_filesize=1M

#7：關(guān)閉遠(yuǎn)程代碼執(zhí)行

如果這個(gè)特性被啟動(dòng)，PHP可以通過allow_url_fopen，在file_get_contents()、include、require 中獲取諸如FTP或網(wǎng)頁內(nèi)容這些遠(yuǎn)程數(shù)據(jù)。程序員經(jīng)常忘記了對(duì)用戶輸入進(jìn)行過濾，而如果這些函數(shù)調(diào)用了這些數(shù)據(jù)，則形成了注入漏洞。在基于PHP的Web 應(yīng)用中，大量代碼中的注入漏洞都由此產(chǎn)生?？梢酝ㄟ^編輯/etc/php.d/security.ini來關(guān)閉該特性：

allow_url_fopen=Off

除此之外，建議把a(bǔ)llow_url_include也取消掉：

allow_url_include=Off

#8：?jiǎn)⒂肧QL安全模式

如下修改/etc/php.d/security.ini：

sql.safe_mode=On

當(dāng)此特性被啟用，mysql_connect()和mysql_pconnect()會(huì)忽略傳入的所有參數(shù)。與此同時(shí)，你需要在代碼上做些相應(yīng)的修改。第 三方以及開源應(yīng)用，如Wordpress，在sql.safe_mode下可能無法正常工作。同時(shí)建議關(guān)閉5.3.x版本的PHP的 magic_quotes_gpc過濾，因?yàn)樗?jiǎn)單粗暴又沒效率。使用mysql_escape_string()以及自定義的過濾函數(shù)會(huì)更好一些

magic_quotes_gpc=Off

#9：控制POST的數(shù)據(jù)大小

HTTP POST通常作為請(qǐng)求的一部分，被客戶端用于向Apache Web服務(wù)器發(fā)送數(shù)據(jù)，如上傳文件或提交表單。攻擊者會(huì)嘗試發(fā)送超大的POST請(qǐng)求去消耗服務(wù)器的資源。如下編輯/etc/php.d/security.ini限制POST的最大大?。?/p>

; 在這里設(shè)置一個(gè)靠譜的數(shù)值 post_max_size=1K

這里設(shè)置了1K的最大大小。這個(gè)設(shè)置會(huì)影響到文件上傳。要上傳大文件，這個(gè)值需要比update_max_filesize大。 建議在Apache中限制可用的請(qǐng)求方法，編輯httpd.conf如下：

<Directory /var/www/html> <LimitExcept GET POST> Order allow,deny </LimitExcept> ## Add rest of the config goes here... ## </Directory>

#10：資源控制（DoS控制）

設(shè)置每個(gè)PHP腳本的最大運(yùn)行時(shí)間。另外建議限制用于處理請(qǐng)求數(shù)據(jù)的最大時(shí)間，以及最大可用內(nèi)存數(shù)。 # 單位：秒

max_execution_time = 30 max_input_time = 30 memory_limit = 40M

#11：為PHP安裝Suhosin高級(jí)保護(hù)系統(tǒng)

具體參考Suhosin項(xiàng)目頁：project page

#12：取消危險(xiǎn)的PHP函數(shù)

PHP有大量可用于入侵服務(wù)器的函數(shù)，如使用不當(dāng)則會(huì)成為漏洞。如下取消這些函數(shù)：

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

#13：PHP Fastcgi / CGI – cgi.force_redirect管理

PHP可與Fastcgi協(xié)同工作。Fastcgi可以減少Web服務(wù)器的內(nèi)存足跡（memory footprint），并改善PHP性能?？梢詤⒖歼@個(gè)來配置Apache2+PHP+FastCGI。在這個(gè)配置 中，cgi.force_redirect會(huì)阻止用戶通過訪問URL來調(diào)用PHP。為安全考慮，啟用該特性：

; Enable cgi.force_redirect for security reasons in a typical *Apache+PHP-CGI/FastCGI* setup cgi.force_redirect=On

#14：PHP用戶與用戶組ID

mod_fastcgi是Apache Web服務(wù)的一個(gè)cgi模塊，可連接到外部的FASTCGI服務(wù)器。你需要確保PHP使用非root用戶運(yùn)行。若其使用root或是UID小于100的用 戶權(quán)限，它就可以訪問，乃至操作系統(tǒng)文件。通過Apache’s suEXEC或mod_suPHP，可在非特權(quán)用戶下執(zhí)行PHP CGI。suEXEC可以是Apache調(diào)用CGI程序的user ID不同于運(yùn)行Apache的user ID。如下：

# ps aux | grep php-cgi

樣例輸出：

phpcgi 6012 0.0 0.4 225036 60140 S Nov22 0:12 /usr/bin/php-cgi phpcgi 6054 0.0 0.5 229928 62820 S Nov22 0:11 /usr/bin/php-cgi phpcgi 6055 0.1 0.4 224944 53260 S Nov22 0:18 /usr/bin/php-cgi phpcgi 6085 0.0 0.4 224680 56948 S Nov22 0:11 /usr/bin/php-cgi phpcgi 6103 0.0 0.4 224564 57956 S Nov22 0:11 /usr/bin/php-cgi phpcgi 6815 0.4 0.5 228556 61220 S 00:52 0:19 /usr/bin/php-cgi phpcgi 6821 0.3 0.5 228008 61252 S 00:55 0:12 /usr/bin/php-cgi

可以通過spawn-fcgi來生成phpcgi用戶的遠(yuǎn)程或本地FastCGI進(jìn)程（前提是有這個(gè)用戶）：

# spawn-fcgi -a 127.0.0.1 -p 9000 -u phpcgi -g phpcgi -f /usr/bin/php-cgi

現(xiàn)在可以配置Apache、Lighthttpd或Nginx Web服務(wù)調(diào)用運(yùn)行在127.0.0.1:9000的FastCGI。

#15：限制PHP訪問文件系統(tǒng)

open_basedir會(huì)限制PHP的運(yùn)行目錄，例如通過fopen()之類的函數(shù)可訪問的目錄。如果訪問的目錄不在open_basedir之 內(nèi)，PHP會(huì)拒絕該訪問。不要使用軟鏈接作為工作區(qū)。例如，只允許訪問/var/www/html而非/var/www、/tmp或/etc目錄：

; Limits the PHP process from accessing files outside ; of specifically designated directories such as /var/www/html/ open_basedir="/var/www/html/" ; ------------------------------------ ; Multiple dirs example ; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" ; ------------------------------------

#16：Session路徑

PHP Session用戶提供數(shù)據(jù)保存功能，以便后續(xù)訪問。這可以使應(yīng)用可定制性更強(qiáng)，提升吸引力。所有Session相關(guān)的數(shù)據(jù)會(huì)被保存在session.save_path中。RHEL/CentOS/Fedora Linux的默認(rèn)設(shè)置如下：

session.save_path="/var/lib/php/session" ; Set the temporary directory used for storing files when doing file upload upload_tmp_dir="/var/lib/php/session"

確認(rèn)這個(gè)路徑在/var/www/html之外，且不可被其他系統(tǒng)用戶訪問：

# ls -Z /var/lib/php/

樣例輸出：

drwxrwx---. root apache system_ubject_r:httpd_var_run_t:s0 session

注：ls -Z會(huì)顯示SELinux的安全信息，如文件模式，user，group，安全信息，文件名等。

#17：保證PHP，軟件及操作系統(tǒng)更新到最新

維護(hù)Linux、Apache、PHP和MySQL服務(wù)器的一項(xiàng)重要工作是更新安全補(bǔ)丁。所有的PHP安全更新應(yīng)盡快進(jìn)行審查并更新?？墒褂萌缦旅睿ㄈ绻ㄟ^包管理器來安裝PHP）：

# yum update

或

# apt-get update && apt-get upgrade

可以配置Red Hat / CentOS / Fedora Linux通過Email發(fā)送yum的包更新提醒，或是Debian / Ubuntu Linux下的apticron發(fā)送提醒。又或通過cron計(jì)劃任務(wù)進(jìn)行更新。

注：查看php.net以獲取最新的PHP版本信息

#18：限制文件及目錄訪問

確認(rèn)以Apache或www這種非root用戶運(yùn)行Apache。/var/www/html目錄下的owner也應(yīng)是非root用戶：

# chown -R apache:apache /var/www/html/

DocumentRoot下的文件應(yīng)禁止運(yùn)行或創(chuàng)建。設(shè)置該目錄下的文件權(quán)限為0444（只讀）：

# chmod -R 0444 /var/www/html/

設(shè)置該目錄下的所有文件夾權(quán)限為0445

# find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}

#19：Apache、PHP、MySQL配置文件的寫入保護(hù)

使用chattr命令給這些配置文件加上寫入保護(hù)：

# chattr +i /etc/php.ini # chattr +i /etc/php.d/* # chattr +i /etc/my.ini # chattr +i /etc/httpd/conf/httpd.conf # chattr +i /etc/

同樣可以為/var/www/html目錄加上寫入保護(hù)

# chattr +i /var/www/html/file1.php# chattr +i /var/www/html/

#20：使用Linux安全拓展（如SELinux）

Linux有各種安全方案來防止服務(wù)程序的錯(cuò)誤配置或漏洞。盡可能使用SELinux或其他Linux安全方案限制網(wǎng)絡(luò)和程序。例如，SELinux為L(zhǎng)inux內(nèi)核或Apache Web服務(wù)提供不同的安全策略。使用下面命令列出所有Apache保護(hù)信息：

# getsebool -a | grep httpd

樣例輸出：

allow_httpd_anon_write --> off allow_httpd_mod_auth_ntlm_winbind --> off allow_httpd_mod_auth_pam --> off allow_httpd_sys_script_anon_write --> off httpd_builtin_scripting --> on httpd_can_check_spam --> off httpd_can_network_connect --> off httpd_can_network_connect_cobbler --> off httpd_can_network_connect_db --> off httpd_can_network_memcache --> off httpd_can_network_relay --> off httpd_can_sendmail --> off httpd_dbus_avahi --> on httpd_enable_cgi --> on httpd_enable_ftp_server --> off httpd_enable_homedirs --> off httpd_execmem --> off httpd_read_user_content --> off httpd_setrlimit --> off httpd_ssi_exec --> off httpd_tmp_exec --> off httpd_tty_comm --> on httpd_unified --> on httpd_use_cifs --> off httpd_use_gpg --> off httpd_use_nfs --> off

取消Apache cgi支持可以輸入：

# setsebool -P httpd_enable_cgi off

詳細(xì)參考：Red Hat SELinux guide

#21：安裝Mod_security

ModSecurity是一個(gè)開源的入侵檢測(cè)和防范的Web應(yīng)用引擎。安裝mod_security可以保護(hù)Apache和PHP應(yīng)用免受XSS和其他攻擊：

## A few Examples ## # Do not allow to open files in /etc/ SecFilter /etc/   # Stop SQL injection SecFilter "delete[[:space:]]+from" SecFilter "select.+from"

#22：如有可能，在Chroot Jail下運(yùn)行Apache / PHP

在Chroot Jail下運(yùn)行Apache / PHP可以最小化可能受到的損失，使其局限于文件系統(tǒng)下的一小塊?？梢允褂靡话愕腸hroot來配置Apache：chroot kind of setup with Apache。不過我建議使用FreeBSD jails、XEN，KVM或OpenVZ虛擬化。

#23：使用防火墻限制傳出連接

攻擊者會(huì)使用wget之類的工具從你的Web服務(wù)器下載文件。使用iptables來阻擋Apache用戶的傳出連接。ipt_owner模塊會(huì)為本地?cái)?shù) 據(jù)包的生成者分配不同角色。它只對(duì)OUTPUT chain有效。下面指令允許vivek用戶通過80端口進(jìn)行外部訪問：

/sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

下面的樣例則是阻擋所有Apache用戶的傳出連接，只允許smtp服務(wù)及spam識(shí)別API服務(wù)通過：

# .... /sbin/iptables --new-chain apache_user /sbin/iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables --append OUTPUT -m owner --uid-owner apache -j apache_user # allow apache user to connec to our smtp server /sbin/iptables --append apache_user -p tcp --syn -d 192.168.1.100 --dport 25 -j RETURN # Allow apache user to connec to api server for spam validation /sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.62 --dport 80 -j RETURN /sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.61 --dport 80 -j RETURN /sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.89 --dport 80 -j RETURN /sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.88 --dport 80 -j RETURN ######################### ## Add more rules here ## ######################### # No editing below # Drop everything for apache outgoing connection /sbin/iptables --append apache_user -j REJECT

#24：查看并審查日志

查看Apache日志文件：

# tail -f /var/log/httpd/error_log # grep 'login.php' /var/log/httpd/error_log # egrep -i "denied|error|warn" /var/log/httpd/error_log

查看PHP日志文件：

# tail -f /var/log/httpd/php_scripts_error.log # grep "...etc/passwd" /var/log/httpd/php_scripts_error.log

查看日志文件可以讓你知道服務(wù)器正在承受何種攻擊，并分析當(dāng)前安全級(jí)別是否足夠。啟用審查服務(wù)用于系統(tǒng)審查，可審查SELinux時(shí)間，驗(yàn)證事件，文件修改，賬號(hào)修改等。建議使用Linux System Monitoring Tools來監(jiān)控Web服務(wù)器。

#25：把服務(wù)分離到不同的服務(wù)器或虛擬機(jī)

對(duì)于比較龐大的安裝配置，建議把運(yùn)行、數(shù)據(jù)庫、靜態(tài)與動(dòng)態(tài)內(nèi)容分離到不同的服務(wù)器

/////////////// / ISP/Router / //////////////  | Firewall  | +------------+ | LB01 | +------------+ +--------------------------+ | | static.lan.cyberciti.biz | +-----------------+--------------------------+ | phpcgi1.lan.cyberciti.biz| +--------------------------+ | phpcgi2.lan.cyberciti.biz| +--------------------------+ | mysql1.lan.cyberciti.biz | +--------------------------+ | mcache1.lan.cyberciti.biz| +--------------------------+

在不同的服務(wù)器或虛擬機(jī)下運(yùn)行不同的網(wǎng)絡(luò)服務(wù)，這可以減少被入侵對(duì)其他服務(wù)的影響。例如，一個(gè)攻擊者入侵了Apache，那就可以訪問同一服務(wù)器下的其他服務(wù)（如MySQL，email服務(wù)等）。但在上述例子中則不會(huì)：

static.lan.cybercity.biz – 使用lighttpd或nginx存放js/css/images等靜態(tài)資源

phpcgi1.lan.cyberciti.biz和phpcgi2.lan.cyberciti.biz – Apache Web服務(wù)+PHP，用于生成動(dòng)態(tài)內(nèi)容

mysql1.lan.cyberciti.biz – MySQL數(shù)據(jù)庫服務(wù)

mcache1.lan.cyberciti.biz – Memcached服務(wù)（MySQL的高速緩存系統(tǒng)）。它使用libevent或epoll來適應(yīng)任意連接數(shù)。而且它使用的是非阻塞網(wǎng)絡(luò)IO。

LB01 – 一個(gè)Nginx服務(wù)器，用于Web及Apache前端的反向代理。所有的訪問連接會(huì)通過nginx代理服務(wù)，被直接處理或分發(fā)到相應(yīng)的Web服務(wù)器。LB01提供簡(jiǎn)單的負(fù)載均衡。