PHP安全

12 年 ago jony PHP安全已关闭评论

防止PHP信息泄漏

可以通过取消export_php,对PHP信息泄漏进行限制。编辑/etc/php.d/security.ini如下:

  1. expose_php=Off 

expose_php会在HTTP Header中添加服务器上,包括版本在内的PHP信息(例如X-Powered-By: PHP/5.3.3)。同时,PHP的全局统一标识符也会暴露。如果export_php启用的话,可以通过下面命令查看PHP版本信息:

  1. $ curl -I http://www.cyberciti.biz/index.php 

样例输出:

  1. HTTP/1.1 200 OK 
  2. X-Powered-By: PHP/5.3.3 
  3. Content-type: text/html; charset=UTF-8 
  4. Vary: Accept-Encoding, Cookie 
  5. X-Vary-Options: Accept-Encoding;list-contains=gzip,Cookie;string-contains=wikiToken;string-contains=wikiLoggedOut;string-contains=wiki_session 
  6. Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
  7. ... 

建议同时隐藏Apache版本等信息:ServerTokens and ServerSignature directives in httpd.conf to hide Apache version

#4:最小化可载入的PHP模块(动态Extension)

PHP支持“Dynamic Extensions”。默认情况下,RHEL会载入/etc/php.d/目录下的所有Extension模块。如需启用或取消某一模块,只需把/etc/php.d/目录下配置文件把该模块注释掉。也可以把文件删除或重命名该模块的配置文件。为了最优化PHP的性能和安全性,应只启用Web应用所需的Extension。例如,用下面命令取消GD模块:

  1. # cd /etc/php.d/ 
  2. # mv gd.{ini,disable} 
  3. <span style="text-decoration: underline;">/sbin/service httpd restart</span> 

启用则是:

  1. # mv gd.{disable,ini} 
  2. <span style="text-decoration: underline;">/sbin/service httpd restart</span> 

#5:记录所有PHP错误

不要把PHP错误信息输出给所用用户。编辑/etc/php.d/security.ini,如下修改:

  1. display_errors=Off 

确保把所有错误信息记录到日志文件:

  1. log_errors=On 
  2. error_log=/var/log/httpd/php_scripts_error.log 

#6:禁止文件上传

为安全考虑,如下编辑/etc/php.d/security.ini取消文件上传

  1. file_uploads=Off 

如用户的确需要上传文件,那么把它启用,而后限制PHP接受的最大文件大小:

  1. file_uploads=On 
  2. # user can only upload upto 1MB via php 
  3. upload_max_filesize=1M 

#7:关闭远程代码执行

如果这个特性被启动,PHP可以通过allow_url_fopen,在file_get_contents()、include、require中获取诸如FTP或网页内容这些远程数据。程序员经常忘记了对用户输入进行过滤,而如果这些函数调用了这些数据,则形成了注入漏洞。在基于PHP的Web应用中,大量代码中的注入漏洞都由此产生。可以通过编辑/etc/php.d/security.ini来关闭该特性:

  1. allow_url_fopen=Off 
  2. 除此之外,建议把allow_url_include也取消掉: 
  3. allow_url_include=Off 

#8:启用SQL安全模式

如下修改/etc/php.d/security.ini:

  1. sql.safe_mode=On 

当此特性被启用,mysql_connect()和mysql_pconnect()会忽略传入的所有参数。与此同时,你需要在代码上做些相应的修改。第三方以及开源应用,如Wordpress,在sql.safe_mode下可能无法正常工作。同时建议关闭5.3.x版本的PHP的magic_quotes_gpc过滤,因为它简单粗暴又没效率。使用mysql_escape_string()以及自定义的过滤函数会更好一些

  1. magic_quotes_gpc=Off 

#9:控制POST的数据大小

HTTP POST通常作为请求的一部分,被客户端用于向Apache Web服务器发送数据,如上传文件或提交表单。攻击者会尝试发送超大的POST请求去消耗服务器的资源。如下编辑/etc/php.d/security.ini限制POST的最大大小:

  1. ; 在这里设置一个靠谱的数值 
  2. post_max_size=1K 

这里设置了1K的最大大小。这个设置会影响到文件上传。要上传大文件,这个值需要比update_max_filesize大。

建议在Apache中限制可用的请求方法,编辑httpd.conf如下:

  1. <Directory /var/www/html> 
  2.      <LimitExcept GET POST> 
  3.          Order allow,deny 
  4.      </LimitExcept> 
  5. ## Add rest of the config goes here... ## 
  6. </Directory> 

#10:资源控制(DoS控制)

设置每个PHP脚本的最大运行时间。另外建议限制用于处理请求数据的最大时间,以及最大可用内存数。

  1. # 单位:秒 
  2. max_execution_time = 30 
  3. max_input_time = 30 
  4. memory_limit = 40M 

#11:为PHP安装Suhosin高级保护系统

具体参考Suhosin项目页:project page

#12:取消危险的PHP函数

PHP有大量可用于入侵服务器的函数,如使用不当则会成为漏洞。如下取消这些函数:

  1. disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source 

#13:PHP Fastcgi / CGI – cgi.force_redirect管理

PHP可与Fastcgi协同工作。Fastcgi可以减少Web服务器的内存足迹(memory footprint),并改善PHP性能。可以参考这个来配置Apache2+PHP+FastCGI。在这个配置中,cgi.force_redirect会阻止用户通过访问URL来调用PHP。为安全考虑,启用该特性:

  1. ; Enable cgi.force_redirect for security reasons in a typical *Apache+PHP-CGI/FastCGI* setup 
  2. cgi.force_redirect=On 

#14:PHP用户与用户组ID

mod_fastcgi是Apache Web服务的一个cgi模块,可连接到外部的FASTCGI服务器。你需要确保PHP使用非root用户运行。若其使用root或是UID小于100的用户权限,它就可以访问,乃至操作系统文件。通过Apache’s suEXEC或mod_suPHP,可在非特权用户下执行PHP CGI。suEXEC可以是Apache调用CGI程序的user ID不同于运行Apache的user ID。如下:

  1. # ps aux | grep php-cgi 

样例输出:

  1. phpcgi      6012  0.0  0.4 225036 60140          S    Nov22   0:12 /usr/bin/php-cgi 
  2. phpcgi      6054  0.0  0.5 229928 62820          S    Nov22   0:11 /usr/bin/php-cgi 
  3. phpcgi      6055  0.1  0.4 224944 53260          S    Nov22   0:18 /usr/bin/php-cgi 
  4. phpcgi      6085  0.0  0.4 224680 56948          S    Nov22   0:11 /usr/bin/php-cgi 
  5. phpcgi      6103  0.0  0.4 224564 57956          S    Nov22   0:11 /usr/bin/php-cgi 
  6. phpcgi      6815  0.4  0.5 228556 61220          S    00:52   0:19 /usr/bin/php-cgi 
  7. phpcgi      6821  0.3  0.5 228008 61252          S    00:55   0:12 /usr/bin/php-cgi 

可以通过spawn-fcgi来生成phpcgi用户的远程或本地FastCGI进程(前提是有这个用户):

  1. # spawn-fcgi -a 127.0.0.1 -p 9000 -u phpcgi -g phpcgi -f /usr/bin/php-cgi 

现在可以配置Apache、Lighthttpd或Nginx Web服务调用运行在127.0.0.1:9000的FastCGI。

限制PHP访问文件系统

open_basedir会限制PHP的运行目录,例如通过fopen()之类的函数可访问的目录。如果访问的目录不在open_basedir之内,PHP会拒绝该访问。不要使用软链接作为工作区。例如,只允许访问/var/www/html而非/var/www、/tmp或/etc目录:

  1. ; Limits the PHP process from accessing files outside  
  2. ; of specifically designated directories such as /var/www/html/ 
  3. open_basedir="/var/www/html/" 
  4. ; ------------------------------------ 
  5. ; Multiple dirs example  
  6. open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
  7. ; ------------------------------------ 

#16:Session路径

PHP Session用户提供数据保存功能,以便后续访问。这可以使应用可定制性更强,提升吸引力。所有Session相关的数据会被保存在session.save_path中。RHEL/CentOS/Fedora Linux的默认设置如下:

  1. session.save_path="/var/lib/php/session" 
  2. ; Set the temporary directory used for storing files when doing file upload 
  3. upload_tmp_dir="/var/lib/php/session" 

确认这个路径在/var/www/html之外,且不可被其他系统用户访问:

  1. # ls -Z /var/lib/php/ 

样例输出:

  1. drwxrwx---. root apache system_u:object_r:httpd_var_run_t:s0 session 

注:ls -Z会显示SELinux的安全信息,如文件模式,user,group,安全信息,文件名等。

#17:保证PHP,软件及操作系统更新到最新

维护Linux、Apache、PHP和MySQL服务器的一项重要工作是更新安全补丁。所有的PHP安全更新应尽快进行审查并更新。可使用如下命令(如果通过包管理器来安装PHP):

  1. # yum update 
  2. 或 
  3. # apt-get update && apt-get upgrade 

可以配置Red Hat / CentOS / Fedora Linux通过Email发送yum的包更新提醒,或是Debian / Ubuntu Linux下的apticron发送提醒。又或通过cron计划任务进行更新。

注:查看php.net以获取最新的PHP版本信息

#18:限制文件及目录访问

确认以Apache或www这种非root用户运行Apache。/var/www/html目录下的owner也应是非root用户:

  1. # chown -R apache:apache /var/www/html/ 

DocumentRoot下的文件应禁止运行或创建。设置该目录下的文件权限为0444(只读):

  1. # chmod -R 0444 /var/www/html/ 

设置该目录下的所有文件夹权限为0445:

  1. # find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {} 

#19:Apache、PHP、MySQL配置文件的写入保护

使用chattr命令给这些配置文件加上写入保护:

  1. # chattr +i /etc/php.ini 
  2. # chattr +i /etc/php.d/* 
  3. # chattr +i /etc/my.ini 
  4. # chattr +i /etc/httpd/conf/httpd.conf 
  5. # chattr +i /etc/ 

同样可以为/var/www/html目录加上写入保护

  1. # chattr +i /var/www/html/file1.php# chattr +i /var/www/html/ 

#20:使用Linux安全拓展(如SELinux)

Linux有各种安全方案来防止服务程序的错误配置或漏洞。尽可能使用SELinux或其他Linux安全方案限制网络和程序。例如,SELinux为Linux内核或Apache Web服务提供不同的安全策略。使用下面命令列出所有Apache保护信息:

  1. # getsebool -a | grep httpd 

样例输出:

  1. allow_httpd_anon_write --> off 
  2. allow_httpd_mod_auth_ntlm_winbind --> off 
  3. allow_httpd_mod_auth_pam --> off 
  4. allow_httpd_sys_script_anon_write --> off 
  5. httpd_builtin_scripting --> on 
  6. httpd_can_check_spam --> off 
  7. httpd_can_network_connect --> off 
  8. httpd_can_network_connect_cobbler --> off 
  9. httpd_can_network_connect_db --> off 
  10. httpd_can_network_memcache --> off 
  11. httpd_can_network_relay --> off 
  12. httpd_can_sendmail --> off 
  13. httpd_dbus_avahi --> on 
  14. httpd_enable_cgi --> on 
  15. httpd_enable_ftp_server --> off 
  16. httpd_enable_homedirs --> off 
  17. httpd_execmem --> off 
  18. httpd_read_user_content --> off 
  19. httpd_setrlimit --> off 
  20. httpd_ssi_exec --> off 
  21. httpd_tmp_exec --> off 
  22. httpd_tty_comm --> on 
  23. httpd_unified --> on 
  24. httpd_use_cifs --> off 
  25. httpd_use_gpg --> off 
  26. httpd_use_nfs --> off 

取消Apache cgi支持可以输入:

  1. # setsebool -P httpd_enable_cgi off 

安装Mod_security

ModSecurity是一个开源的入侵检测和防范的Web应用引擎。安装mod_security可以保护Apache和PHP应用免受XSS和其他攻击:

  1. ## A few Examples ## 
  2. # Do not allow to open files in /etc/ 
  3. SecFilter /etc/ 
  4. # Stop SQL injection 
  5. SecFilter "delete[[:space:]]+from" 
  6. SecFilter "select.+from" 

#22:如有可能,在Chroot Jail下运行Apache / PHP

在Chroot Jail下运行Apache / PHP可以最小化可能受到的损失,使其局限于文件系统下的一小块。可以使用一般的chroot来配置Apache:chroot kind of setup with Apache。不过我建议使用FreeBSD jails、XEN,KVM或OpenVZ虚拟化。

#23:使用防火墙限制传出连接

攻击者会使用wget之类的工具从你的Web服务器下载文件。使用iptables来阻挡Apache用户的传出连接。ipt_owner模块会为本地数据包的生成者分配不同角色。它只对OUTPUT chain有效。下面指令允许vivek用户通过80端口进行外部访问:

  1. /sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp --dport 80 -m state --state NEW,ESTABLISHED  -j ACCEPT 

下面的样例则是阻挡所有Apache用户的传出连接,只允许smtp服务及spam识别API服务通过:

  1. # ....   
  2. /sbin/iptables --new-chain apache_user 
  3. /sbin/iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  4. /sbin/iptables --append OUTPUT -m owner --uid-owner apache -j apache_user 
  5. # allow apache user to connec to our smtp server  
  6. /sbin/iptables --append apache_user -p tcp --syn -d 192.168.1.100 --dport 25 -j RETURN 
  7. # Allow apache user to connec to api server for spam validation 
  8. /sbin/iptables --append apache_user -p tcp --syn -d  66.135.58.62 --dport 80 -j RETURN 
  9. /sbin/iptables --append apache_user -p tcp --syn -d  66.135.58.61 --dport 80 -j RETURN 
  10. /sbin/iptables --append apache_user -p tcp --syn -d  72.233.69.89 --dport 80 -j RETURN 
  11. /sbin/iptables --append apache_user -p tcp --syn -d  72.233.69.88 --dport 80 -j RETURN 
  12. ######################### 
  13. ## Add more rules here ## 
  14. ######################### 
  15. # No editing below 
  16. # Drop everything for apache outgoing connection 
  17. /sbin/iptables --append apache_user -j REJECT 

#24:查看并审查日志

查看Apache日志文件:

  1. # tail -f /var/log/httpd/error_log 
  2. # grep 'login.php' /var/log/httpd/error_log 
  3. # egrep -i "denied|error|warn" /var/log/httpd/error_log 

查看PHP日志文件:

  1. # tail -f /var/log/httpd/php_scripts_error.log 
  2. # grep "...etc/passwd" /var/log/httpd/php_scripts_error.log 

查看日志文件可以让你知道服务器正在承受何种攻击,并分析当前安全级别是否足够。启用审查服务用于系统审查,可审查SELinux时间,验证事件,文件修改,账号修改等。建议使用Linux System Monitoring Tools来监控Web服务器。

#25:把服务分离到不同的服务器或虚拟机

对于比较庞大的安装配置,建议把运行、数据库、静态与动态内容分离到不同的服务器

  1. /////////////// 
  2. / ISP/Router / 
  3. ////////////// 
  6. Firewall 
  9. +------------+ 
  10. | LB01       | 
  11.  +------------+                 +--------------------------+ 
  12. |                 | static.lan.cyberciti.biz | 
  13.  
  14. +-----------------+--------------------------+ 
  15. | phpcgi1.lan.cyberciti.biz| 
  16.  +--------------------------+ 
  17. | phpcgi2.lan.cyberciti.biz| 
  18. +--------------------------+ 
  19. | mysql1.lan.cyberciti.biz | 
  20.  +--------------------------+ 
  21. | mcache1.lan.cyberciti.biz| 
  22. +--------------------------+ 

在不同的服务器或虚拟机下运行不同的网络服务,这可以减少被入侵对其他服务的影响。例如,一个攻击者入侵了Apache,那就可以访问同一服务器下的其他服务(如MySQL,email服务等)。但在上述例子中则不会:

  • static.lan.cybercity.biz – 使用lighttpd或nginx存放js/css/images等静态资源
  • phpcgi1.lan.cyberciti.biz和phpcgi2.lan.cyberciti.biz – Apache Web服务+PHP,用于生成动态内容
  • mysql1.lan.cyberciti.biz – MySQL数据库服务
  • mcache1.lan.cyberciti.biz – Memcached服务(MySQL的高速缓存系统)。它使用libevent或epoll来适应任意连接数。而且它使用的是非阻塞网络IO。
  • LB01 – 一个Nginx服务器,用于Web及Apache前端的反向代理。所有的访问连接会通过nginx代理服务,被直接处理或分发到相应的Web服务器。LB01提供简单的负载均衡。