Apache PHP基本安全設定

Apache Security



修補已知Apache漏洞

已知Apache漏洞

http://www.cvedetails.com/vendor/45/Apache.html

http://sebug.net/appdir/Apache



建議值:ServerSignature Off

隱藏Apache的版本號及其它敏感資訊

ServerSignature會出現在Apache所產生的頁面 ex:404頁面、目錄清單頁面的底部


建議值:ServerTokens Prod

ServerTokens用來判斷Apache在Server HTTP回應包header填充什麼資訊

若把ServerTokens設為Prod,則HTTP回應header就會被設置為:Server:Apache



建議值:User apache

建議值:Group apache

以Apache的身份執行apache web server

 


建議值:TraceEnable off

關閉HTTP METHOD中的TRACE方法


建議值

< Directory />

    Options None

    AllowOverride None

     < LimitExcept GET POST>

   deny from all

     < /LimitExcept>

< /Directory>

預設關閉所有功能, 並只限制GET和POST使用

ps

其他設定Directory下的option如下

關閉瀏覽目錄 ex:Options -Indexes

關閉includes  ex:Options -Includes

關閉CGI執行程式  ex:Options -ExecCGI

禁止Apache遵循符號連結 ex: Options -FollowSymLinks



關閉任何不必要的模組

常見的無用模組如下

mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex


refer

http://superuser.com/questions/306057/bare-minimum-apache-modules-needed-for-static-website-and-no-authn

http://www.tecmint.com/apache-security-tips/


...................


PHP security 



調整php.ini的設定提升安全


register_globals = off

關閉全域變數


allow_url_fopen = Off  

關閉以url讀取php或其他檔案

ex:

$fp = fopen("http://127.0.0.1/test.php", "rt");  // support in allow_url_include = On

$fp = fopen("test.php", "rt");


allow_url_include = Off

關閉以url方式引入php或其他檔案

ex:

include(“ http://127.0.0.1/test.php”); // support in allow_url_include = On

include(“ test.php”);  


display_errors = off

關閉錯誤訊息顯示

ps:

如需debug,建議使用log_errors = On和error_log = filename

將錯誤訊息記錄到指定的檔案


expose_php = Off

不讓伺服器流出版本資訊


open_basedir =web目錄

盡量將網站的起路徑限制在web的路徑,並免駭客去引用web路徑以外的檔案。


disable_functions= 

使用disable_functions關閉沒在用的funciton

對外的Web建議要把可以執行系統指令的functions拿掉

ex

disable_functions= passthru,exec,shell_exec,system

ex:

disable_functions  = system,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exe,c,popen,dl,set_time_limit

ex:

disable_functions = passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir,fopen,fread,fclose,fwrite,file_exists,closedir,is_dir,readdir.opendir,fileperms.copy,unlink,delfile



refer

http://php.net/manual/en/security.intro.php

http://www.cyberciti.biz/tips/php-security-best-practices-tutorial.html




2019-10-20 18:01:37發表 2019-10-20 18:04:11修改   


  登入      [牛的大腦] | [單字我朋友] Powered by systw.net