站長資訊網無論是Apache還是Nginx,php.ini都是適合的,而php-fpm.conf適合nginx+fcgi的配置
1、打開php的安全模式
PHP的安全模式是個非常重要的PHP內嵌的安全機制,能夠控制一些PHP中的函數執行,比如system(),同時吧很多文件操作的函數進行了權限控制。
該參數配置如下
safe_mode = Off #是否啟用安全模式。
打開時,PHP將檢查當前腳本的擁有者是否和被操作的文件的擁有者相同。如上,默認的php.ini是沒有打開安全模式的,我們把它打開如下:
safe_mode = On
2、用戶組安全
當safe_mode打開時,safe_mode_gid被關閉,那么php腳本能夠對文件進行訪問,而且相同組的用戶也能夠對文件進行訪問。建議設置為safe_mode_gid = Off。
如果不進行設置,可能我們無法對我們服務器網站目錄下的文件進行操作了,比如我們需要對文件進行操作的時候。
3、關閉危險的函數
如果打開了安全模式,那么函數禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,我們覺得不希望執行包括system()等在內的能夠執行命令的PHP函數,或者能夠查看PHP信息的phpinfo()等函數,那么我們就可以禁止它們,方法如下:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目錄的操作,那么可以關閉很多文件操作。
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列出了部分比較常用的文件處理函數,也可以把上面執行命令函數和這個函數結合,就能夠抵制大部分的phpshell了,該參數默認為disable_functions =
4、關閉PHP版本信息在http頭中的泄露
為了防止黑客獲取服務器中PHP版本的信息,可以關閉該信息泄露在http頭中。
該參數默認配置如下:
expose_php = On
是否暴露PHP被安裝在服務器上的事實(在http頭中加上其簽名)。它不會有安全上的直接威脅,但它使得客戶端知道服務器上安裝了PHP。建議設置為:
expose_php = Off
這樣黑客就無法在客戶端看到PHP的信息。
5、關閉注冊全局變量。
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,這是對服務器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關閉。該參數默認配置如下:
register_globals = Off
打開該指令可能會導致嚴重的安全問題,除非你的腳本經過非常仔細的檢查。
推薦使用預定義的超全局變量:$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER,該指令受variables_order指令的影響。PHP6中已經刪除此指令。建議設置為:
register_globals = Off
這樣設置之后,獲取對應變量的時候就要采用合理方式,比如獲取GET提交的變量var,那么就要用$_GET[‘var’]來進行獲取,這個是PHP程序員需要注意的。
提示:關閉此項可能會導致老的PHP程序出問題,請根據情況處理。
如果PHP程序沒有指明需要register_globals的話,最好把register_globals設置為Off,這樣可以避免很多安全問題。
舉個例子,有一個這樣的PHP文件片段叫做test.php
//前面的代碼
if ($authorised) {
//執行一些受保護的動作
}
//其余的代碼
}
?>
如果register_globals是打開的話,入侵者可以通過提交這樣一個請求來繞過驗證。
6、打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,輕則網站后臺被入侵,重則整個服務器淪陷,所以一定要小心,php.ini中有一個設置。
magic_quotes_gpc = Off
這個默認是關閉的,如果它打開后將自動把用戶提交對SQL的查詢進行轉換,比如把 ’ 轉為 ’ 等,這對防止SQL注入有重大作用,所以我們推薦設置為:
magic_quotes_gpc = On
7、錯誤信息控制
一般PHP在沒有連接到數據庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含PHP腳本當前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后是不安全的,所以一般服務器建議禁止錯誤提示。該參數默認配置如下:
display_errors = Off
是否將錯誤信息座位輸出的一部分顯示給終端用戶。應用調試時可以打開,方便查看錯誤。在最終發布到web站點上,強烈建議關掉這個特性,并使錯誤日志代替(參照下面)。設置為:
display_errors = Off
如果確實是要顯示錯誤信息,一定要設置顯示錯誤的級別,比如只顯示警告以上的信息。
error_reporting = E_WARNING & E_ERROR
8、錯誤日志
建議在關閉display_errors后能夠把錯誤信息記錄下來,便于查×××器錯誤的原因。
log_errors = On
同時也要設置錯誤日志存放的目錄,建議跟Apache的日志存在一起。
error_log = /var/logs/php_error.log
注意:給的文件路徑必須允許Apache用戶和組具有寫的權限。
9、部分資源限制參數優化。
9.1、設置每個腳本運行的最長時間
當無法上傳較大的文件或者后臺備份數據經常超時,每個腳本最大允許執行時間(秒),0表示沒有限制。此時需要調整如下設置:
max_execution_time = 30
這個參數有助于阻止劣質腳本無休止的占用服務器資源。該指令僅影響腳本本身的運行時間,任何其他花費在腳本運行之外的時間都不包括。如用system()/sleep()函數的使用,數據庫查詢,文件上傳等,都不包括在內。在安全模式下,你不能用ini_set()在運行時改變這個設置。
9.2、每個腳本使用的最大內存
memory_limit = 128m
一個腳本所能夠申請到的最大內存字節數(可以使用K和M作為單位)。這有助于防止劣質腳本消耗完服務器上的所有內存。要能夠使用該指令,必須在編譯的時候使用”–enable-memory-limit”配置選項,如果要取消內存限制,則必須將其設置為-1,設置了該指令后,memory_get_usage()函數將變為可用。
9.3、每個腳本等待輸入數據最長時間
默認設置如下:
max_input_time = -1
每個腳本解析輸入數據(POST,GET,upload)的最大允許時間(秒),-1表示不限制。設置為:
max_input_time = 60;
9.4、上載文件的最大許可大小
當上傳較大文件時,需要調整如下參數:
upload_max_filesize = 2M;
10、部分安全參數優化
1、禁止打開遠程地址,最近出的php的include的漏洞,就是在一個php程序中include了變量,那么入侵者就可以利用這個控制服務器在本地執行遠程的一個PHP程序,例如phpshell,所以我們要關閉這個。
allow_url_fopen = Off
2、設定:cgi.fix_pathinfo=0防止Nginx文件類型錯誤解析漏洞。
11、調整php的sesson信息存放類型和位置
11.1、默認參數優化
session.save_handler = files
存儲和檢索與會話關聯的數據的處理器名字。默認為文件(“files”),如果想要使用自定義的處理器(如基于數據庫的處理器),可用”user”,設為”memcache”則可以使用memcache作為會話處理器(需要指定”–enable-memcache-session”編譯選項)。
session.save_path = “/tmp”
傳遞給存儲處理器的參數。對于files處理器,此值是創建會話數據文件的路徑。
11.2、優化實例
1、安裝memcached服務端軟件。
注意:memcached用libevent來做事件驅動,所以要先安裝libevent。
2、安裝memcache客戶端件
3、真正配置的開始
修改php.ini配置文件,在全局設置。web集群session共享存儲設置:
默認php.ini中session的類型和配置路徑如下:
session.save_handler = files
session.save_path = “/tmp”
修改成如下配置:
session.save_handler = memcache
session.save_path = “tcp://192.168.115.110:11211”
提示:
(a)192.168.115.110:11211為memcached數據庫緩存的IP及端口
(b)上述適合LNMP和LAMP環境。
(c)memcached服務器也可以是多臺通過hash調度。
11.3、用memcached來存儲session特點
優點:
1、讀寫速度上會比普通files時快很多。
2、可以解決多個服務器共用session的難題。
缺點:
1、session數據都保存在memory中,持久化方面有所欠缺,但對session數據來說不是問題
2、也可以用其他的持久化系統存儲session,例如radis,ttserver。
3、高性能高并發場景,cookies的效率比session要好很多,因此很多大網站都會用cookies解決會話共享問題。
