一、限定某个目录禁止解析php
核心配置文件内容:
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.*)\.php(.*)>
Order allow,deny
Deny from all
</FilesMacth>
</Directory>
检测并重新加载:
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful
(快捷键 ctrl+R 再输入 -t )
curl测试时直接返回了php源代码,并未解析:
curl -x127.0.0.1:80 'http://111.com/upload/123.php' -I
直接访问网站也是不行:
二、限制user_agent
user_agent可以理解为浏览器标识,针对user_agent来限制一些访问,比如可以限制一些不太友好的搜索引擎“爬虫”,你之所以能在百度搜到一些论坛,就是因为百度会派一些“蜘蛛爬虫”过来抓取网站数据。“蜘蛛爬虫”抓取数据类似于用户用浏览器访问网站,当“蜘蛛爬虫”太多或者访问太频繁,就会浪费服务器资源。另外,也可以限制恶意请求,这种恶意请求我们通常称作cc攻击,他的原理很简单,就是用很多用户的电脑同时访问同一个站点,当访问量或者频率达到一定层次,会耗尽服务器资源,从而使之不能正常提供服务。这种cc攻击其实有很明显的规律,其中这些恶意请求的user_agent相同或者相似,那我们就可以通过限制user_agent发挥防攻击的作用。
核心配置文件内容:
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR] //OR是或者的意思,user_agent匹配curl或者匹配baidu.com
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC] //NC是忽略大小写
RewriteRule .* - [F] //F是Forbidden
</IfModule>
curl来测试报错:
也可以curl -A "123123" 指定user_agent
curl -A "amolinux amolinux" -x127.0.0.1:80 http://111.com/123.php -I
curl -I 查看状态码
curl -A 指定user agent
curl -x 省略hosts
curl -e 指定referer
三、php相关配置
查看php配置文件位置
/usr/local/php/bin/php -i|grep -i "loaded configuration file"
(phpinfo比较准确)
定义时区:
date.timezone
disable_functions 限制:
编辑php.inin配置文件
vim /usr/local/php/etc/php.ini
disable_functions=eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
访问info提示报错(这个就是disable functions的作用):
(测试后重新进php.ini配置文件将 phpinfo去掉)
display_errors 直接把错误的信息显示在屏幕上,不安全,所以改成off :
改完后访问phpinfo就显示空白了:
另外 log_errors要确认开启:
开启日志后还要定义对应的保存路径:error_log,我们设置在/tmp下
定义完路径后,我们还要对它进行一个级别设置:error_reporting,E_ALL是最不严谨的级别:
测试一下,发现已经生成了对应的日志了:
open_basedir 可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号 "." 来代表当前目录,另外若"open_basedir = /tmp/user", 那么目录 "/tmp/user" 和 "/tmp/user1"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
"open_basedir = /tmp/user/" ,我们先来创建一个2.php,输入内容保存后再来做实验:
open_basedir = /data/wwwroot/111.com:/tmp
测试状态是正常的:
如果我们定义open_basedir = /data/wwwroot/1111.com:/tmp 时,我们再来实验一下:
然后我们再来实验一下,结果是500错误:
apache开启压缩 :
apache 配置https 支持ssl: