摘要: 本文主要介紹在Linux操作系統(tǒng)下PHP網(wǎng)站服務(wù)器配置的方法與技巧，從Web服務(wù)器安全、PHP本身的安全配置分別介紹配置方法，很好地解決了PHP網(wǎng)站在Linux系統(tǒng)下的應(yīng)用。

關(guān)鍵詞: Linux操作系統(tǒng)PHP服務(wù)器安全配置

一、Web服務(wù)器安全

PHP是Web服務(wù)器的一個模塊功能，所以要想使PHP擁有較安全的配置，首先要保證Web服務(wù)器的安全，當然Web服務(wù)器要安全就必須先保證系統(tǒng)安全。PHP可以和各種Web服務(wù)器結(jié)合，這里只討論Apache。筆者建議以chroot方式安裝啟動Apache，這樣即使Apache和PHP及其腳本出現(xiàn)漏洞，受影響的也只有這個禁錮的系統(tǒng)，不會危害實際系統(tǒng)。但是我們使用chroot的Apache后，會給應(yīng)用帶來一定的麻煩，比如連接mysql時必須用“127.0.0.1”地址，使用tcp連接而不能用localhost實現(xiàn)socket連接，這在效率上會稍微差一點。mail函數(shù)發(fā)送郵件也存在一定的問題，因為php.ini里的:

[mail function];

For Win32 only.

SMTP=localhost，

For Win32 only.

sendmail_from=me@localhost.com

這都是針對Win32平臺的，所以我們需要在chroot環(huán)境下調(diào)整好sendmail。

二、PHP本身問題

1.遠程溢出

PHP-4.1.2以下的所有版本都存在文件上傳遠程緩沖區(qū)溢出漏洞，而且攻擊程序已經(jīng)廣泛流傳，成功率非常高:

http://packetstormsecurity.org/0204-exploits/7350fun

http://hsj.shadowpenguin.org/misc/php3018_exp.txt

2.遠程拒絕服務(wù)

PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST請求處理遠程漏洞，雖然不能獲得本地用戶權(quán)限，但是也能造成拒絕服務(wù)。

3.safe_mode繞過漏洞

PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函數(shù)繞過safe_mode限制執(zhí)行命令漏洞。從4.0.5版本開始，mail函數(shù)增加了第五個參數(shù)，設(shè)計者可以突破safe_mode的限制執(zhí)行命令，其中4.0.5版本突破非常簡單，只需用分號隔開后面加shell命令就可以了。

三、PHP本身的安全配置

PHP的配置非常靈活，我們可以通過php.ini、httpd.conf、.htAccess文件(該目錄必須設(shè)置了AllowOverride All或Options)進行設(shè)置，還可以在腳本程序里使用ini_set()和其他的特定的函數(shù)進行設(shè)置，通過phpinfo()和get_cfg_var()函數(shù)可以得到配置選項的各個值。

如果配置選項是唯一PHP_INI_SYSTEM屬性的，我們必須通過php.ini和httpd.conf來修改，其修改的是PHP的Master值，但修改之后必須重啟apache才能生效。其中php.ini設(shè)置的選項是對Web服務(wù)器所有腳本生效，httpd.conf里設(shè)置的選項是對該定義的目錄下所有腳本生效。

在討論Linux系統(tǒng)下安全配置PHP服務(wù)器之前，我們應(yīng)該了解PHP的safe_mode模式。

1.safe_mode

safe_mode是唯一PHP_INI_SYSTEM屬性，它必須通過php.ini或httpd.conf來設(shè)置。要啟用safe_mode，只需修改php.ini:

safe_mode=On

重啟apache后，safe_mode就生效了，啟動safe_mode，會對許多PHP函數(shù)進行限制，特別是和系統(tǒng)相關(guān)的文件打開、命令執(zhí)行等函數(shù)。

雖然safe_mode不是萬能的(低版本的PHP可以繞過)，但筆者還是強烈建議用戶打開安全模式，這樣在一定程度上能夠避免一些未知的攻擊。不過啟用safe_mode會有很多限制，可能對應(yīng)用帶來影響，所以用戶還需要調(diào)整代碼和配置才能和諧。被安全模式限制或屏蔽的函數(shù)我們可以參考PHP手冊。

2.變量濫用

PHP默認register_globals=On，對于Get、Post、Cookie、Environment、Session的變量我們可以直接注冊成全局變量。它們的注冊順序是variables_order=″EGPCS″(可以通過php.ini修改)，同名變量variables_order右邊的覆蓋左邊，所以變量的濫用極易造成程序的混亂，而且腳本程序員往往沒有對變量初始化的習(xí)慣，像如下的程序片斷就極易受到攻擊:

//test_1.php

if($pass == ″hello″)

$auth = 1，

if($auth == 1)

echo ″some important information″，

else

echo ″nothing″，

?>

攻擊者只需用如下的請求就能繞過檢查:

http://victim/test_1.php?auth=1

PHP-4.1.0發(fā)布的時候建議關(guān)閉register_globals，并提供了7個特殊的數(shù)組變量來使用各種變量。對于從Get、Post、Cookie等來的變量并不會直接注冊成變量，我們必須通過數(shù)組變量來存取。PHP-4.2.0發(fā)布的時候，php.ini默認配置就是register_globals = Off，這使得程序使用PHP自身初始化的默認值，一般為0，避免了攻擊者控制判斷變量。

解決方法:

配置文件php.ini設(shè)置register_globals = Off。

這要求程序員對作為判斷的變量在程序最開始初始化為一個值。

參考文獻:

[1]周星.基于PHP應(yīng)用的數(shù)據(jù)共享與傳遞技術(shù).北京:人民郵電出版社，2007.

[2]網(wǎng)勝工作室著.PHP410程序設(shè)計.北京:北京希望電子出版社，2006.

[3]仲進平.PHP網(wǎng)絡(luò)開發(fā)技術(shù)程序設(shè)計[M].北京:人民郵電出版社，2007.

[4]飛思科技產(chǎn)品研發(fā)中心.PHP網(wǎng)站設(shè)計與實現(xiàn).北京:電子工業(yè)出版社，2004.