禁止PHP解析
对于PHP语言编写的网站,有一些目录是要上传文件的。如果网站代码有漏洞,会让黑客上传一个PHP代码写的木马,网站执行PHP,会让黑客拿到服务器的权限,为了避免这个情况,要把能上传的目录禁止解析PHP代码。
在配置文件中增加以下内容:
保存退出后创建在111.com目录下创建upload目录
然后在upload目录下写一个PHP文件
重新加载
用curl测试会有403报错就代表配置成功
限制user_agent
user_agent是浏览器标识,针对user_agent可以限制一些不友好的搜索疫情的爬虫,也可以限制有人恶意同时访问网站,使得访问量或访问频率达到一定层次,耗尽服务器资源,从而使网站不能正常提供服务。
配置:
中括号里的NC 表示忽略大小写,OR表示或者,F相当于Forbidden。%{HTTP_USER_AGENT}是user_agent的内置变量。
重新加载后执行下面的命令:
配置PHP
查找PHP的配置文件位置
查看php配置文件位置
/usr/local/php/bin/php -i |grep -i "loaded configuration file"
php.ini是PHP的配置文件,但用这个命令可能不准,要在网站下写一个phpinfo查看。
date.timezone 设置
disable_functions 把PHP内置的存在安全风险的函数禁掉
display=On 把错误信息显示到浏览器上,要改为Off,变成白页。
log_errors, 错误日志是否开启
error_log,错误日志路径
错误日志级别error_reporting
display_errors, 设置为Off
open_basedir 安全选项 一个服务器跑了很多网站,其中一个网站被黑,可能会渗透到其他网站,open_basedir 作用就是将网站限定在指定目录里,就算这个站点被黑,黑客只能在这个目录下作为。
在虚拟主机配置文件里设置open_basedir