« 新浪微博做网站SEO?PHP5.3 [HOST=]和[PATH=]配置段与扩展冲突的bug »

LNMP服务器几个必做基础安全措施

木其君 | 2014-06-30 11:02 | 字体:

  网站安全和火灾大概是一个级别的事吧,反正没着火的时候都没事,着了有可能让你千百个日夜的心血化为灰烬。当然,个人网站的总体价值没那么高,也决定了个人站长大部分对安全的东西并不在意,但是一些基础的安全设置能做的还是要做到位,可以省去很多低级的挂马、爆shell等危险。

  这两天又在没日夜地学习LNMP服务器架设,这次明显比上几次熟练多了,至少整个流程流畅很多。反复认真阅读了几十篇相关的经验和资料,在安全设置方面也清晰多了,明白了怎么设置和为什么设置。这里记下架设LNMP时再懒也得做的几个基础安全设置,以便下次查看。

PHP网页木马运行界面
网页马执行命令

  第一个,还是网站目录的权限问题,还是与先前的笔记《设置安全的nginx+PHP网站目录权限》里提到的一致,网站文件的所有者不能是php进程的所有者,就是让php程序无权写正常的网站目录。需要写缓存的目录去除php执行权限。

  第二个,限制每个网站可浏览目录的权限,网站程序只能浏览本网站目录下的文件。这个我一般习惯通过在php.ini里加设置项:

[HOST=8.8.8.8]
open_basedir=/home/html/vh1_ggcom:/tmp
[PATH=/home/html/vh1_ggcom]
open_basedir=/home/html/vh1_ggcom:/tmp

  其中如果是通过域名访问网站,HOST=gg.com即可。

  第三,设置php的禁止函数disabled_function,像exec,system,passthru,popen,shell_exec这些可怕的系统函数必禁无疑的了,其他还有什么该禁止,自己根据实际情况琢磨。

  之前我对这些也无所谓的,反正网站也没啥大价值,何必浪费时间去弄这个,这回自己传个网页马上去,发现这种基本设置不做,就像家里一扇偏门没关那么傻。网站目录权限不设置好,网页马会继续感染,在更多的正常代码里隐藏起来;不限制浏览范围,网页马可以直接看你全不的目录文件;不禁止那些危险函数的话,各种提权了,前面两工作也就白干了。

  以后我再做LNMP这几项肯定是必做的设置。


转载请注明:天空巴士 - www.sky84.cn
本文链接地址:http://www.sky84.cn/arch/content_536.html
评论已关闭