安顿文件中open_basedir选项效能,Linux下的Apache和PHP安全设置

如下是php.ini中的原文说明以及默认配置:
; open_basedir, if set, limits all file operations to the defined
directory
; and below. This directive makes most sense if used in a per-directory
or
; per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = .
open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也
可用符号”.”来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
举例来说: 若”open_basedir = /dir/user”, 那么目录 “/dir/user” 和
“/dir/user1″都是
可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
“open_basedir = /dir/user/”

如下是php.ini中的原文说明以及默认配置:
; open_basedir, if set, limits all file operations to the defined
directory
; and below. This directive makes most sense if used in a per-directory
or
; per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = .
open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也
可用符号”.”来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
举例来说: 若”open_basedir = /dir/user”, 那么目录 “/dir/user” 和
“/dir/user1″都是
可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
“open_basedir = /dir/user/”

来源:irobots blog

open_basedir也可以同时设置多个目录,
在Windows中用分号分隔目录,在任何其它系统中用
冒号分隔目录。当其作用于Apache模块时,父目录中的open_basedir路径自动被继承。

open_basedir也可以同时设置多个目录,
在Windows中用分号分隔目录,在任何其它系统中用
冒号分隔目录。当其作用于Apache模块时,父目录中的open_basedir路径自动被继承。

(1) safe_mode: 以安全模式运行php;
在php.ini文件中使用如下
safe_mode = On (使用安全模式)
safe_mode = Off (关闭安全模式)
在apache的httpd.conf中VirtualHost的相应设置方法
php_admin_flag safe_mode On (使用安全模式)
php_admin_flag safe_mode Off (关闭安全模式)
或者:
php_admin_value safe_mode 1 (使用安全模式)
php_admin_value safe_mode 0 (关闭安全模式)

有三种方法可以在Apache中为指定的用户做独立的设置:

有三种方法可以在Apache中为指定的用户做独立的设置:

(2) safe_mode_include_dir: 无需UID/GID检查的目录;

(a) 在Apache的httpd.conf中Directory的相应设置方法:

(a) 在Apache的httpd.conf中Directory的相应设置方法:

(3) open_basedir: 将用户可操作的文件限制在某目录下;
a、在Apache的httpd.conf中Directory的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/
b、在php.ini中设置open_basedir = .:/tmp/, 这个设置表示允许
访问当前目录(即PHP文件所在目录)和/tmp/目录。

php_admin_value open_basedir
/usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/

php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/

(4) disable_functions:设置禁用函数;
典型的安全性配置
disable_functions =
shell_exec,system,exec,passthru,show_source,get_cfg_var,dl
若允许用户调试程序,则配置如下:
disable_functions = shell_exec,system,exec,passthru

 

(b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /var/www/html/:/var/tmp/

(5) register_globals: 禁止注册全局变量;
register_globals = On (自动注册为全局变量)
register_globals = Off (不可注册为全局变量)

(b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /var/www/html/:/var/tmp/

(c) 因为VirtualHost中设置了open_basedir之后,
这个虚拟用户就不会再自动继承php.ini
中的open_basedir设置值了,这就难以达到灵活的配置措施,
所以建议您不要在VirtualHost
中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/,
这个设置表示允许
访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录.

(6) magic_quotes_gpc: 令敏感字元转义
magic_quotes_gpc = On
magic_quotes_gpc = Off
在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_flag magic_quotes_gpc on
或者:
php_admin_value magic_quotes_gpc 1

(c) 因为VirtualHost中设置了open_basedir之后,
这个虚拟用户就不会再自动继承php.ini
中的open_basedir设置值了,这就难以达到灵活的配置措施,
所以建议您不要在VirtualHost
中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/,
这个设置表示允许
访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录.

请注意: 若在php.ini所设置的上传文件临时目录为/tmp/,
那么设置open_basedir时就必须
包含/tmp/,否则会导致上传失败. 新版php则会提示”open_basedir restriction
in effect”
警告信息,
但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道
这是漏洞还是新功能.

blog (1) safe_mode:
以安全模式运行php; 在php.ini文件中使用如下 safe_mode = On
(使用安全模式) safe_mode = Off (关闭安全模式) 在apache的…

请注意: 若在php.ini所设置的上传文件临时目录为/tmp/,
那么设置open_basedir时就必须
包含/tmp/,否则会导致上传失败. 新版php则会提示”open_basedir restriction
in effect”
警告信息,
但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道
这是漏洞还是新功能.

针对ShopEx472版本的配置:

open_basedir =
“D:/Server;../catalog;../include;../../home;../syssite;../templates;../language;../../language;../../../language;../../../../language”

您可能感兴趣的文章:

  • php文件包含目录配置open_basedir的使用与性能详解
  • PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍
  • PHP 配置open_basedir
    让各虚拟站点独立运行
  • PHP绕过open_basedir限制操作文件的方法

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website