访问控制-禁止php解析、user_agent，PHP相关配置

限定某个目录禁止解析php

上传图片的目录不需要解析php，静态文件存放目录不允许放php的。

编辑apache虚拟主机配置文件：

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

添加下面内容：
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
</Directory>

测试并重载配置文件：
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

创建相应的目录并放入对应文件

[root@localhost 111.com]# mkdir upload
……
[root@localhost 111.com]# ls upload/
123.php abc.jpg baidu.png

测试

访问123.php文件：
[root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php'
<?php
echo "welcom to 123file";
?>

直接显示源代码，即无法进行php解析。

访问baidu.png文件：
[root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:47:16 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
#正常访问图片文件。

添加php访问权限

添加参数“< FilesMatch (.)\ .php(. ) ”

[root@localhost 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

添加下面的配置：
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.).php(.)>
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>

测试并重载配置文件：
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

测试

访问123.php：
[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 04:28:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
#返回状态码为403，即无法访问。

访问baidu.png：
[root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:29:25 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c

Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png

正常访问其它文件。

访问控制-user_agent

user_agent（用户代理）：可以理解为浏览器标识。

需求背景：有时候网站受到CC攻击，其原理是：攻击者借助代理服务器（肉机）生成指向受害主机的合法请求，实现DDOS和伪装，CC攻击的一个特点就是其useragent是一致的，所以，可以通过限制攻击者useragent的方法来阻断其攻击。

编辑apache虚拟主机的配置文件

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]

NC 忽略大小写， OR 或者的意思，与吓一跳语句相关

RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
RewriteRule  .*  -  [F]
#F 是Fobidden禁止

</IfModule>

测试并重载配置文件：
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

检测

使用curl直接访问：

[root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 06:59:14 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

返回值为403，禁止访问。

使用agent aminglinux aminglinux访问：

[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 07:01:01 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php'
welcom to 123file

正常访问

curl-A 指定useragent。curl -A “abc”。

PHP相关配置

查看php配置文件位置

查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。（较准）

使用命令查看：
/usr/local/php/bin/php -i|grep -i "loaded configuration file"

通过php网页信息查看：
在网页文件的目录下创建一个phpinfo文件。文件名为1.php。
内容为：
<?php
phpinfo();
?>

通浏览器过访问该文件，可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。

disable_function

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数，可以用过“disable_function”来限制，以达到提高网站安全性的目的

[root@localhost /]# vim /usr/local/php/etc/php.ini
disable_functions默认是空的。（303行）
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
# 添加phpinfo惨术后就无法访问phpinfo页面。

检查并重载配置文件：
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

display_errors = Off（459行）
#会把错误的信息显示到浏览器上，一般情况设置为off。使用curl访问也没有任何输出。

重载配置文件之后，无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。

date.timezone

设定时区

[root@localhost /]# vim /usr/local/php/etc/php.ini

timezone默认为空

date.timezone =Asia/Chongqing （Shanghai）

日志

log_error=On/Off 开启或关闭错误日志（487行）

错误日志路径：
;error_log = php_errors.log
#默认显示（572行）

修改成指定路径：
error_log = /tmp/php_errors.log

需要将前面的；（分号）去掉。

定义日志的级别：

error_reporting = EALL
#默认（449行）
级别有：E ALL（最不严谨的） 、~E NOTICE 、~E STRICT、~EDEPRECATED（可以自由组合）
生产环境使用：E ALL & ~E_ NOTICE就可以。

日志级别的定义解释：
E_ALL (Show all errors, warnings and notices including coding standards.)
; E_ALL & ~E_NOTICE (Show all errors, except for notices)
; E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.)
; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)

检测并重载配置文件：
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

配置好之后，只要有错误日志，就会记录在/tmp/php_errors.log 文件中。

如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。

open_basedir

这是一个安全选项。当只要一个站点被人拿下，服务器上的其他站点就会跟着遭殃，设置open_basedir之后，虽然不能详细控制以某个用户运行某个站点，但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域，通常是其家目录的路径。

在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点，只能去虚拟主机配置文件里配置。

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
在每台虚拟主机配置中加入下面内容，修改open_basedir 为DocumentRoot 的地址。
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

说明： “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可！
在此开放“/tmp/”目录是为了使临时文件能正常写入。

重载配置文件后生效