lnmp架构下php安全配置

<摘自《Nginx教程从入门到精通》一书>

1、使用open_basedir限制虚拟主机跨目录访问

[HOST=www.ttlsa.com]

open_basedir=/data/site/www.ttlsa.com/:/tmp/

[HOST=test.ttlsa.com]

open_basedir=/data/site/test.ttlsa.com/:/tmp/

#注意：目录最后一定要加上/。比如你写/tmp,你的站点同时存在/tmp123等等以/tmp开头的目录，那么也可以访问到这些目录。

2、禁用不安全PHP函数

disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo

3、关注软件安全资讯

    积极关注linux内核、php安全等信息

4、php用户只读

    这个方法是我最推崇的方法，但是执行之前一定要和php工程师商量. 为什么？例如站点www.ttlsa.com根目录用户与组为nobody，而运行php的用户和组为phpuser。目录权限为755，文件权限为644. 如此，php为只读，无法写入任何文件到站点目录下。也就是说用户不能上传文件，即使有漏洞, 黑客也传不了后门, 更不可能挂木马. 这么干之前告知程序员将文件缓存改为nosql内存缓存（例如memcached、redis等），上传的文件通过接口传到其他服务器（静态服务器）。 [warning]备注：程序生成本地缓存是个非常糟糕的习惯，使用文件缓存速度缓慢、浪费磁盘空间、最重要一点是一般情况下服务器无法横向扩展.[/warning]

5、关闭php错误日志

display_errors = On 改为Off

6、php上传分离

     将文件上传到远程服务器，例如nfs等。当然也可以调用你们写好的php接口. 即使有上传漏洞，那么文件也被传到了静态服务器上。木马等文件根本无法执行. 举个例子： php站点www.ttlsa.com，目录/data/site/www.ttlsa.com 静态文件站点static.ttlsa.com，目录/data/site/static.ttlsa.com 文件直接被传到了/data/site/static.ttlsa.com，上传的文件无法通过www.ttlsa.com来访问，只能使用static.ttlsa.com访问，但是static.ttlsa.com不支持php.

7、关闭php信息

expose_php = On 改为 Off   #不透漏php版本信息

8、禁止动态加载链接库

disable_dl = On 改为 Off

9、禁止打开远程url

allow_url_fopen = On 改为 Off

其实这点算不上真正的安全, 并不会导致web被入侵等问题,但是这个非常影响性能, 笔者认为它属于狭义的安全问题. 以下方法将无法获取远程url内容

$data = file_get_contents('http://www.baidu.com/');

以下方法可以获取本地文件内容

$data = file_get_contents("1.txt");

如果你的站点访问量不大、数据库也运行良好，但是web服务器负载出奇的高，请你直接检查下是否有这个方法。笔者遇到过太多这个问题，目前生产环境已全线禁用，如果php工程师需要获取远程web的内容，建议他们使用curl。