|
|
发布日期:2001-11-27# G2 _4 s p% I! W. k$ G: G
文章内容:! C# o: c) y, o/ l) |8 K! i- h
--------------------------------------------------------------------------------; n8 `: M7 }9 N% F% ^
+ U; U* b5 t* }% g2 w! h- C( G作者:san(小许) san@nsfocus.com N6 Q' }/ ^7 s
6 \4 { o# s+ j' \2 t--------------------------------------------------------------------------------
8 T7 B+ ]; U) u# w/ U4 W* W" _
6 A8 M$ B; z; n N1 v2 N% A前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题,以
9 I' i; Q+ u& f9 R$ F+ n( V5 B及如何通过应用程序漏洞突破系统,这篇文章我们来通过对php的一些服务器端特性来进行配6 {0 [/ w' x0 V) t5 y
置加强php的安全。写cgi脚本的时候我们的确一定注意各种安全问题,对用户输入进行严格的! w+ T- c4 w, q# n
过滤,但是常在岸边走哪有不湿鞋,吃烧饼哪有不掉芝麻,人有失蹄马有失手,连著名的6 H9 v {/ H2 U, s
phpnuke、phpMyAdmin等程序都出现过很严重的问题,更何况象我等小混混写的脚本。所以现
9 q; i3 @7 r* b9 r在我们假设php脚本已经出现严重问题,比如象前一阵子phpnuke的可以上传php脚本的大问题* d( M( W2 @( b: m
了,我们如何通过对服务器的配置使脚本出现如此问题也不能突破系统。
( h$ Q# B& [0 `7 ~7 c5 x" ?( T
% t. W9 ^) @+ O0 u% ^8 r+ m' o5 A# l
1、编译的时候注意补上已知的漏洞
8 U$ F/ V; z8 I- S6 t7 e9 l1 ?% ^
' r# i0 ` j4 a! Z从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php应用程序能突. e0 B4 l. H9 a' m4 \
破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源
* x1 C$ T. u4 W8 ~码包里ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c文件9 J8 {9 j$ p) K4 Q6 x; R
的第152行,也就是下面这行: 9 n" p; ?3 f5 Z
: _3 _+ ^8 }7 D/ Q m" b
if (extra_cmd != NULL) {
+ `- d/ D8 u I/ t8 b, N
$ c; t* K4 c( ~4 E后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);然后编译php ' z% p* K& R0 T6 S* w) P5 l
那么我们就修补了这个漏洞。 % x7 {( N9 O6 i+ J: N, W% h% ^
+ Y5 _. p' S' [- R
8 }- V5 P4 `: J7 A2、修改php.ini配置文件
: n" n% R& ?) Y& e/ S/ }" x
9 s/ E* n: ?! c& T( J以php发行版的php.ini-dist为蓝本进行修改。
7 I/ f7 m9 H: @6 b+ A- E
; y \ T0 W; S1)Error handling and logging
2 l% j6 [: b7 F) [' o) L在Error handling and logging部分可以做一些设定。先找到:
2 H, w! \( n0 K, Vdisplay_errors = On * I1 d+ w& O. f) D, D0 I- g8 t) B( G, K
0 `; I" c9 K& T) J; ^php缺省是打开错误信息显示的,我们把它改为: 4 a7 f1 W+ T& F5 U& m
# ^# Y6 y+ _) x! y$ x! gdisplay_errors = Off
7 F: S, D4 e: x& L" ?
" W G6 i# Q- F( j关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一定程度上防止攻! l: _% n- o: u y$ b
击者从错误信息得知脚本的物理位置,以及一些其它有用的信息,起码给攻击者的黑箱检测造1 n& s: Y( E2 U- M7 G8 \. h
成一定的障碍。这些错误信息可能对我们自己有用,可以让它写到指定文件中去,那么修改以1 I2 B7 k+ L9 E( E# B
下: ) j5 \! j) R% J
) K8 v4 d3 B* R2 h
log_errors = Off 7 c; u! k% e- e3 j k
4 l( Q" G5 p7 f# C+ U
改为:
2 a2 J6 q9 m5 p4 s* `/ I' Plog_errors = On
! y# P! ?5 i3 B% e7 P" i j* E( g* o" m" Q* L9 _
以及指定文件,找到下面这行: 2 \" z: c: K- J$ D
( L0 D1 i4 U8 ?& q* p
;error_log = filename ( K! D6 @- l8 {, j! M
3 h, v5 q7 a5 [0 m去掉前面的;注释,把filename改为指定文件,如/usr/local/apache/logs/php_error.log
- l1 { m0 R' e0 s" i1 Q4 Q* ?1 E. F+ O0 R1 B
error_log = /usr/local/apache/logs/php_error.log
$ \6 X2 _1 O1 G; ~4 a& ]# N; r: d# x5 \
这样所有的错误都会写到php_error.log文件里。
: E% v; p! C G# A3 ` ^: j
) m. C' {- N" p& q: S2 J% B: E4 {( Q; y2)Safe Mode 3 N+ y1 ~* z9 L
- u6 J4 o/ ?3 N1 v# y Y; P. X
php的safe_mode功能对很多函数进行了限制或禁用了,能在很大程度解决php的安全问题。在
+ s# f0 F6 O4 O7 L5 ^; @Safe Mode部分找到:
^, {8 {* ?; b! N
/ o) g! } y2 S3 s, Jsafe_mode = Off
+ G1 L- h4 n! b: _: T$ \
; M7 G& u% c, V9 }: m4 Z改为: & O( C: J& f; U0 B1 M3 f
1 G6 O& A2 Z: `1 C" ?safe_mode = On
, w5 \2 ^& x$ K3 d; \# L0 S4 P9 J
K# Y, |: N1 }: Y' M0 C这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和``被禁止,其它
2 ?/ d8 u* [5 B3 p0 @) E/ e2 F的一些执行函数如:exec(), system(), passthru(), popen()将被限制只能执行
5 L3 R3 d" ?/ ysafe_mode_exec_dir指定目录下的程序。如果你实在是要执行一些命令或程序,找到以下:
' _" o7 S3 G/ v: J" g% S
7 J# l; z: {8 L# ]: A. P5 J5 lsafe_mode_exec_dir =
; r. \ J0 ~% ^5 G1 P8 c
" N" W: K" C* Z( T2 B指定要执行的程序的路径,如: 8 }4 `2 ^ {, I/ P1 o& e! N
6 h6 S7 G* j, xsafe_mode_exec_dir = /usr/local/php/exec ; Y' i% g' M3 i- E: F
$ w8 X, F6 }1 a! [' T5 H1 @
然后把要用的程序拷到/usr/local/php/exec目录下,这样,象上面的被限制的函数还能执行
* m/ L1 s4 t! N) {7 l7 S该目录里的程序。
6 e5 R! W: X/ }
) U' o" d5 l$ a& h关于安全模式下受限函数的详细信息请查看php主站的说明:
- n) q6 d6 e# ]' vhttp://www.php.net/manual/en/features.safe-mode.php
; z5 N( q6 G7 m* X" K& w) l; {9 |! f6 Z5 ~ ]7 `3 R" A
3)disable_functions - g# h3 p# B6 @8 e* c2 o% U+ S( {/ p
6 b' D: u/ K$ r. r0 q' I
如果你对一些函数的危害性不太清楚,而且也没有使用,索性把这些函数禁止了。找到下面这
/ M, n) P8 {" b. S: P行:
$ O; ~- t0 R- @" ~7 S ^0 T! c: _9 y: q5 z+ S4 t
disable_functions = " Z5 ^- s& F1 X8 ?7 R
* Q( f' k/ m2 H/ G+ {, p在”=“后面加上要禁止的函数,多个函数用”,“隔开。
0 D2 O7 S3 _3 g1 a, w( H" X) @* r6 x
$ M$ z1 Z; S. B. d; R
; u4 {. L2 m$ s6 F0 _0 Z5 S3、修改httpd.conf * o" U- l0 z: i t# U. z, N
% G0 ~4 h6 `. U9 L. f
如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作- ]' @7 E9 N( O. g! l7 N
路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:
5 I Z" b( j; @) a t" b2 P+ ~' d) e- c" o4 m/ ]2 U0 x
<Directory /usr/local/apache/htdocs> ' o. i0 ?) i# H+ L7 E
php_admin_value open_basedir /usr/local/apache/htdocs
$ x R$ g8 u1 Z5 J</Directory>
& V( N* B6 c2 A' Q9 R0 N( T0 g6 }
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打
, K: a y/ h B. A( D+ g/ Q/ D# g开的话会提示这样的错误:
. J. S& U' l& z1 ]# X: n( f8 }
! R2 \5 Q; }5 sWarning: open_basedir restriction in effect. File is in wrong directory in
( o. X; T y: H+ a/usr/local/apache/htdocs/open.php on line 4
) d; f, [( y/ u( g7 _' r! [( B( O7 i& q H9 P) S; J4 H3 _8 d* p
等等。 ! T2 m7 a/ A! |7 ?. R
% j! T* |" M1 n ? k7 \8 G
7 D, r+ F% }' O6 o4、对php代码进行编译
4 d l2 u p' ~3 @2 V K: W
1 P% |/ t( \ I7 v) N, Z, `4 ?Zend对php的贡献很大,php4的引擎就是用Zend的,而且它还开发了ZendOptimizer和
' I4 c+ ?3 v E4 |8 b( E2 @ZendEncode等许多php的加强组件。优化器ZendOptimizer只需在http://www.zend.com注册就
+ O" H% H z+ ] M3 j可以免费得到,下面几个是用于4.0.5和4.0.6的ZendOptimizer,文件名分别对于各自的系统) v0 z5 o7 r# Z5 ^
: & b% O& b( w* Z- b1 ~. K- D2 N
2 \5 S: C( S: j8 z" S |; E
ZendOptimizer-1.1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz ; k" U7 x5 P9 o! i5 l( O
ZendOptimizer-1.1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
8 n5 Y0 H7 S8 J: A# D, k% H" ~! ?ZendOptimizer-1.1.0-PHP_4.0.5-Solaris-sparc.tar.gz
+ {- K* ?; Y8 X& t2 C4 y" tZendOptimizer-1.1.0-PHP_4.0.5-Windows-i386.zip
* ^! b5 j G7 v& k
3 L) R0 @: i' z* Y' D7 }2 @3 A0 m+ T优化器的安装非常方便,包里面都有详细的说明。以UNIX版本的为例,看清操作系统,把包里% |: @2 F. K, Z: e/ \ A) _
的ZendOptimizer.so文件解压到一个目录,假设是/usr/local/lib下,在php.ini里加上两句+ A* p; |0 i, @+ l1 G/ e8 e
: $ H7 Y! ^! C' a6 j
. p: P# N; ?- \; v- l
zend_optimizer.optimization_level=15
5 {" |5 O! K) K( @2 dzend_extension="/usr/local/lib/ZendOptimizer.so" - x4 D; S$ {/ g$ G9 P
, a- u1 o/ ]; L就可以了。用phpinfo()看到Zend图标左边有下面文字:
/ `. B% t0 R) X8 \
" N2 @6 e2 }7 {* U5 p, Gwith Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies
: H f( ~3 e/ M* d6 `" J/ F
! {5 v ?5 q. a1 R1 L4 ? F那么,优化器已经挂接成功了。
% a# O/ w! v& k5 [' `0 B/ a) H- V$ W) Z
但是编译器ZendEncode并不是免费的,这里提供给大家一个http://www.PHPease.com的马勇设9 c# y- h @$ j1 ~
计的编译器外壳,如果用于商业目的,请与http://www.zend.com联系取得许可协议。 9 z( w7 b- V7 a! K6 `) b
6 W0 q! L/ X q; B5 k- I0 g) t5 k
php脚本编译后,脚本的执行速度增加不少,脚本文件只能看到一堆乱码,这将阻止攻击者进
; T8 Q8 M+ Y/ P, _. i一步分析服务器上的脚本程序,而且原先在php脚本里以明文存储的口令也得到了保密,如
1 a6 ]) q3 ]! @/ A4 K, y4 nmysql的口令。不过在服务器端改脚本就比较麻烦了,还是本地改好再上传吧。
' K0 x8 J3 g: s8 @$ `. k( D. D
+ T3 x; r0 B7 c0 \1 `
/ P( Q( l3 ]- K: s/ }" a. H5、文件及目录的权限设置 & c" y3 k8 M! I+ S/ k+ F% N
0 ]+ U# O# o4 _7 M" s% ?web目录里除了上传目录,其它的目录和文件的权限一定不能让nobody用户有写权限。否则,3 r0 ~: O. M. k) C* X! r
攻击者可以修改主页文件,所以web目录的权限一定要设置好。
7 @! s1 S6 X1 ]/ y; ~+ x) Q5 h' X8 v. M. u- J" E, b. J0 X
还有,php脚本的属主千万不能是root,因为safe_mode下读文件的函数被限制成被读文件的属
' X8 H# n7 V/ ^1 E' y9 k主必须和当前执行脚本的属主是一样才能被读,否则如果错误显示打开的话会显示诸如以下的
6 \ ~+ J9 \8 V& \错误: . k9 W; ~. R7 b* T! Z8 G$ v. V
0 g) d! Z' M& [* d+ v
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not $ ~! [1 ^ ~: |: i2 t' {
allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php , W. Z' @$ m3 o( n0 W
on line 3 W8 ~' M+ u* {, G6 s
% V4 y: o5 I! L7 B' N
这样我们能防止许多系统文件被读,比如:/etc/passwd等。 : H. b7 w! v( R: J
上传目录和上传脚本的属主也要设成一样,否则会出现错误的,在safe_mode下这些要注意。
$ f. b1 W8 e$ g. K
. a/ a- y7 O' M6 H- F, b2 ~& p% y2 x8 ]2 K+ ~$ b1 @
6、mysql的启动权限设置
9 Z! o0 e, t/ ^/ l5 f3 [
8 e3 j J! T+ l6 ^2 Emysql要注意的是不要用root来启动,最好另外建一个mysqladm用户。可以在/etc/rc.local等
; E, ~- ^0 e1 X" K. i系统启动脚本里加上一句: . ]# d1 N% ^! _% T# c; K
3 V- j( w) V9 Asu mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"
+ l3 R, k9 p1 g7 j& x3 o+ F# z& Z, f* I
这样系统重启后,也会自动用mysqladmin用户启动mysql进程。
7 e# e. H" T6 K% |' {3 r9 q9 F( u
! A+ ]4 e/ L8 ?1 w4 }
# u, P; v2 m% f3 u: J2 B2 t7、日志文件及上传目录的审核及 $ u1 H! B. T: Q
- z; x( O7 `$ I3 \% q& _( Y
查看日志和人的惰性有很大关系,要从那么大的日志文件里查找攻击痕迹有些大海捞针,而且8 Y; [; N3 }) i9 x$ |
也未必有。web上传的目录里的文件,也应该经常检查,也许程序有问题,用户传上了一些非
' w( t- f" l# d" V2 T) M法的文件,比如执行脚本等。 2 k( `6 U5 m- f: M9 t+ l: I
6 e% {3 y$ p6 \4 u
/ ~& R" {% ]) H) P8、操作系统自身的补丁
/ m# s% A9 u( Z4 T9 R$ @: d2 `0 t
一样,给系统打已知漏洞的补丁是系统管理员最基本的职责,这也是最后一道防线。 . R" A. T+ j6 O
/ f4 Y7 V" T# E; |8 i3 F9 S
% h1 f; k. t2 I9 l9 v% h经过以上的配置,虽然说不上固若金汤,但是也在相当程度上给攻击者的测试造成很多麻烦,! E% m* a0 l; t. S. e
即使php脚本程序出现比较严重的漏洞,攻击者也无法造成实际性的破坏。 0 G; m5 T9 m5 }3 x4 P% L' \
如果您还有更古怪,更变态的配置方法,希望能一起分享分享;) 2 }0 K. r. p: F0 Q& `* A6 h& b
5 N6 m: ^ F/ W% e. o
' z2 k2 ]9 E; F: J |参考资料: 2 \) i" |, z1 Q, u+ U9 }8 U u2 F
PHP Manual
# |2 m- t! }- N# n& H; l0 lhttp://www.zend.com |
|
闽公网安备 35092202000206号 )
IP卡
狗仔卡
发表于 2004-5-31 00:23:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡