以往的lamp網站向著lnmp成長, 筆者事情情況利用lnmp多年, 在這里很興奮和各人分享一下多年的lnmp網站的php安詳設置，至于lamp安詳后續與各人分享，其實內容上八成溝通，這邊著重講php安詳設置，看內容.

1. 利用open_basedir限制虛擬主機跨目次會見
[HOST=www.server110.com]
open_basedir=/data/site/www.server110.com/:/tmp/

[HOST=test.server110.com]
open_basedir=/data/site/test.server110.com/:/tmp/

如上設置的意思是www.server110.com下的php措施被限制在open_basedir設置的兩個目次下, 不行以會見到其他目次。假如沒有做以上的設置，那么test.server110.com與www.server110.com的措施可以相互會見.
假如個中一個站點有裂痕被黑客植入了webshell，那么他可以通過這個站點拿下同一臺處事器的其他站點，最后掛木馬.

[warning]留意：目次最后必然要加上/. 好比你寫/tmp，你的站點同時存在/tmp123等等以/tmp開頭的目次，那么黑客也可以會見到這些目次，別的, php5.3以上支持這個寫法，5.2不支持。[/warning]

2. 禁用不安詳PHP函數
disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo

克制php執行以上php函數,以上php措施可以執行linux呼吁, 好比可以執行ping、netstat、mysql等等.假如你的系統有提權bug,效果你分明.

3. 存眷軟件安詳資訊

努力存眷linux內核、php安詳等信息并實時采納錯誤

4. php用戶只讀

這個要領是我最推崇的要領，可是執行之前必然要和php工程師磋商. 為什么？譬喻站點www.server110.com根目任命戶與組為nobody，而運行php的用戶和組為phpuser。目次權限為755，文件權限為644. 如此，php為只讀，無法寫入任何文件到站點目次下。也就是說用戶不能上傳文件，縱然有裂痕, 黑客也傳不了后門, 更不行能掛木馬.  這么干之前奉告措施員將文件緩存改為nosql內存緩存（譬喻memcached、redis等），上傳的文件通過接口傳到其他處事器（靜態處事器）。

[warning]備注：措施生成當地緩存是個很是糟糕的習慣，利用文件緩存速度遲鈍、揮霍磁盤空間、最重要一點是一般環境下處事器無法橫向擴展.[/warning]

5. 封鎖php錯誤日志
display_errors = On
改為
display_errors = Off

措施一旦呈現錯誤，具體錯誤信息便立即展示到用戶面前，，個中包括路徑、有的甚至是數據庫賬號暗碼. 注入滲透暗碼根基上都是通過這個報錯來猜取。出產情況上強烈封鎖它

6. php上傳疏散

將文件上傳到長途處事器，譬喻nfs等。雖然也可以挪用你們寫好的php接口. 縱然有上傳裂痕，那么文件也被傳到了靜態處事器上。木馬等文件基礎無法執行.

舉個例子：
php站點www.server110.com，目次/data/site/www.server110.com
靜態文件站點static.server110.com，目次/data/site/static.server110.com

文件直接被傳到了/data/site/static.server110.com，上傳的文件無法通過www.server110.com來會見，只能利用static.server110.com會見，可是static.server110.com不支持php.

7. 封鎖php信息
expose_php = On
改為
expose_php = Off

不等閑透露本身php版本信息，防備黑客針對這個版本的php動員進攻.

8. 克制動態加載鏈接庫
disable_dl = On;
改為
enable_dl = Off;

9. 禁用打開長途url
allow_url_fopen = On
改為
allow_url_fopen = Off

其實這點算不上真正的安詳, 并不會導致web被入侵等問題,可是這個很是影響機能, 筆者認為它屬于狹義的安詳問題.

以下要領將無法獲取長途url內容

$data = file_get_contents("http://www.baidu.com/")；

以下要領可以獲取當地文件內容

$data = file_get_contents("1.txt");

假如你的站點會見量不大、數據庫也運行精采，可是web處事器負載出奇的高，請你直接查抄下是否有這個要領。筆者碰著過太多這個問題，今朝出產情況已全線禁用，假如php工程師需要獲取長途web的內容，發起他們利用curl.

php curl如何利用請查察我之前的文章《PHP利用curl替代file_get_contents》，以及php下curl與file_get_contents機能比擬.

10.竣事

本日lnmp站點的php安詳臨時講到這里,有問題后續將繼承增補.