【LAMP环境搭建】限定某个目录禁止解析php、限制user_agent和php相关配置

一、限定某个目录禁止解析php

核心配置文件内容：

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

 <Directory /data/wwwroot/111.com/upload>

      php_admin_flag engine off

     <FilesMatch (.*)\.php(.*)>

     Order allow,deny

     Deny from all

     </FilesMacth>

 </Directory>

 


检测并重新加载：

/usr/local/apache2.4/bin/apachectl -t

/usr/local/apache2.4/bin/apachectl  graceful

（快捷键  ctrl+R  再输入 -t  ）



curl测试时直接返回了php源代码，并未解析：

curl -x127.0.0.1:80 'http://111.com/upload/123.php' -I



直接访问网站也是不行：



二、限制user_agent

user_agent可以理解为浏览器标识，针对user_agent来限制一些访问，比如可以限制一些不太友好的搜索引擎“爬虫”，你之所以能在百度搜到一些论坛，就是因为百度会派一些“蜘蛛爬虫”过来抓取网站数据。“蜘蛛爬虫”抓取数据类似于用户用浏览器访问网站，当“蜘蛛爬虫”太多或者访问太频繁，就会浪费服务器资源。另外，也可以限制恶意请求，这种恶意请求我们通常称作cc攻击，他的原理很简单，就是用很多用户的电脑同时访问同一个站点，当访问量或者频率达到一定层次，会耗尽服务器资源，从而使之不能正常提供服务。这种cc攻击其实有很明显的规律，其中这些恶意请求的user_agent相同或者相似，那我们就可以通过限制user_agent发挥防攻击的作用。

 核心配置文件内容：

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

   <IfModule mod_rewrite.c>

        RewriteEngine on

        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]             //OR是或者的意思，user_agent匹配curl或者匹配baidu.com

        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]       //NC是忽略大小写

        RewriteRule  .*  -  [F]                                                                            //F是Forbidden

    </IfModule> 



curl来测试报错：



 也可以curl -A "123123" 指定user_agent

curl -A "amolinux  amolinux" -x127.0.0.1:80 http://111.com/123.php -I



curl -I 查看状态码

curl -A 指定user agent

curl -x 省略hosts

curl -e 指定referer

三、php相关配置

查看php配置文件位置

 /usr/local/php/bin/php -i|grep -i "loaded configuration file"  

（phpinfo比较准确）



定义时区：

 date.timezone 



disable_functions 限制：

编辑php.inin配置文件

vim /usr/local/php/etc/php.ini

disable_functions=eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo



访问info提示报错（这个就是disable functions的作用）：

（测试后重新进php.ini配置文件将 phpinfo去掉）



display_errors   直接把错误的信息显示在屏幕上，不安全，所以改成off ：



改完后访问phpinfo就显示空白了：



另外 log_errors要确认开启：



 开启日志后还要定义对应的保存路径：error_log，我们设置在/tmp下



定义完路径后，我们还要对它进行一个级别设置：error_reporting，E_ALL是最不严谨的级别：



测试一下，发现已经生成了对应的日志了：



 open_basedir 可将用户访问文件的活动范围限制在指定的区域，通常是其家目录的路径，也可用符号 "." 来代表当前目录，另外若"open_basedir
= /tmp/user", 那么目录 "/tmp/user" 和 "/tmp/user1"都是可以访问的。所以如果要将访问限制在仅为指定的目录，请用斜线结束路径名。例如设置成: 
"open_basedir = /tmp/user/"  ，我们先来创建一个2.php，输入内容保存后再来做实验： 
                                                                                                



 open_basedir = /data/wwwroot/111.com:/tmp



 测试状态是正常的：



如果我们定义open_basedir = /data/wwwroot/1111.com:/tmp 时，我们再来实验一下：



然后我们再来实验一下，结果是500错误：



 扩展

apache开启压缩  ： http://ask.apelearn.com/question/5528 
apache2.2到2.4配置文件变更  ： http://ask.apelearn.com/question/7292 
apache options参数： http://ask.apelearn.com/question/1051 
apache禁止trace或track防止xss ： http://ask.apelearn.com/question/1045 
apache 配置https 支持ssl： http://ask.apelearn.com/question/1029