|
|
发布日期:2001-11-275 w I) O8 j9 F+ Q/ T
文章内容:9 p7 i* O- r. _3 i5 W" D
--------------------------------------------------------------------------------
: a6 l1 `, _1 \- Q2 b4 ?; c# u. R: y& b, t
作者:san(小许) san@nsfocus.com
, {- o* }: @2 }% ^& i* |+ O' ~ h$ g! Q8 N$ |
--------------------------------------------------------------------------------
; V3 |1 l! B* X. m2 {$ t5 Q5 n' @& t4 d' A+ k% r5 G/ e3 z
前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题,以' f# @# Y# l. I. \, t
及如何通过应用程序漏洞突破系统,这篇文章我们来通过对php的一些服务器端特性来进行配
/ ]& U" N2 N4 f% y4 U' ~, c置加强php的安全。写cgi脚本的时候我们的确一定注意各种安全问题,对用户输入进行严格的
3 X x7 G# N0 d. k4 u过滤,但是常在岸边走哪有不湿鞋,吃烧饼哪有不掉芝麻,人有失蹄马有失手,连著名的
* i7 B9 _" b4 p/ P; _' C+ C3 Wphpnuke、phpMyAdmin等程序都出现过很严重的问题,更何况象我等小混混写的脚本。所以现
$ H9 x' Z4 [. }6 z在我们假设php脚本已经出现严重问题,比如象前一阵子phpnuke的可以上传php脚本的大问题& m! \, [2 a! v6 P! r( w3 v
了,我们如何通过对服务器的配置使脚本出现如此问题也不能突破系统。
# E1 A* w9 }6 w: J
' v1 e k3 _; z* E" Q& r, p( b$ h
( b0 ^1 e* h. @6 {7 c1 u: |& c! c0 t1、编译的时候注意补上已知的漏洞 + p, T* |7 f n" F5 K
! |3 D: ^, F+ C从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php应用程序能突7 b8 {5 Q( ?/ ~) y/ A; K) \
破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源
`: t9 p- T3 E. n码包里ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c文件- l; x! Q) Q& @6 \. D
的第152行,也就是下面这行:
1 h' B- C! Q+ |$ F6 W- t1 v0 P! }* a( t2 I7 j
if (extra_cmd != NULL) { + J9 X% I0 z( n9 T" B* L
* X- { P( z- x/ s5 g" j5 {' i
后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);然后编译php ) l9 m1 P b8 ?' D
那么我们就修补了这个漏洞。 5 S* c0 w1 a- W( @
7 B% V& I5 Z( ^3 C9 D2 N
$ q5 M a/ K) b; L7 l& {7 j$ X& n6 j2、修改php.ini配置文件
5 ~. M% S; J! O3 u {
, G; T! z4 S8 ~ X以php发行版的php.ini-dist为蓝本进行修改。
. N. K6 D6 u" l4 }6 \8 r& f( h% D; P& q: E4 S5 o
1)Error handling and logging
: f* v5 a# F; Z4 h7 }: A4 x# f在Error handling and logging部分可以做一些设定。先找到: , L! R6 ]9 i4 x6 Y+ `: M% Y; R
display_errors = On
/ a; } K3 R& a, L' O6 k5 J* M' V( ]5 `
php缺省是打开错误信息显示的,我们把它改为: 2 E9 \/ k5 C7 b/ g d. v1 G/ Y
* V' J5 x1 X6 Z* ~
display_errors = Off 5 h1 ~* t( }! N8 O& Y$ C
' z6 A9 }/ L* S) \2 P
关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一定程度上防止攻# U1 r1 C h! R6 ~( b
击者从错误信息得知脚本的物理位置,以及一些其它有用的信息,起码给攻击者的黑箱检测造$ k( x6 Y. H) |) S
成一定的障碍。这些错误信息可能对我们自己有用,可以让它写到指定文件中去,那么修改以
0 M4 `; P {/ v下: & {0 k l$ N+ R
2 d, A- D! E2 r3 B( ]3 d; `, }log_errors = Off
/ z$ t+ L" l1 z4 D6 X1 {* e7 r2 v( w1 m- x/ _
改为: 2 x5 H, o7 \) H1 d# _0 Q
log_errors = On
( f' ~6 ]6 _! s$ E( H; c3 a/ _/ L: e6 b. N5 ], I1 u1 _% }9 l
以及指定文件,找到下面这行:
2 G N$ i6 ?) }$ f, j/ U' Z0 P8 C
$ F5 _9 d; A4 i. S;error_log = filename & H+ s2 ]( E. S z& O1 l) d1 c" @
: E! Z4 r& f5 Y! B E; I' g去掉前面的;注释,把filename改为指定文件,如/usr/local/apache/logs/php_error.log
. h6 m, R6 K4 G2 M. ? C; z( w" f( n
error_log = /usr/local/apache/logs/php_error.log . I" t/ ] G- m, O( Q, N
3 C( u) R8 V& n! m) ]3 {这样所有的错误都会写到php_error.log文件里。
0 b% c( @7 g( D2 U& ?
; o2 Z% C* a& c3 _2)Safe Mode
8 ]7 R& N% d* p# |' e) i% h ^' |0 @' b: i+ x
php的safe_mode功能对很多函数进行了限制或禁用了,能在很大程度解决php的安全问题。在
& ~; \# e2 V2 F* e) YSafe Mode部分找到: : a0 |7 i' n( f6 `% S, ?! `
* g* O) h# U7 ]8 T$ K" W3 m' psafe_mode = Off 8 J6 R8 ]1 ?5 R' |' |" w3 s5 T) `9 P' J
6 ^& \9 e! C( f; y改为: 8 _ R2 d$ G& C* J4 o; x
8 h3 @" T# _* F- j4 b5 y
safe_mode = On
% `/ ]3 [% Z! e' [' \* u( |1 ?9 z9 t0 s* s" F
这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和``被禁止,其它) A5 j! c! U( `5 d) o0 @. F
的一些执行函数如:exec(), system(), passthru(), popen()将被限制只能执行( X1 _. N' F# e" {. T9 b6 u
safe_mode_exec_dir指定目录下的程序。如果你实在是要执行一些命令或程序,找到以下:
{6 U$ w3 [+ P7 `
8 Z0 M2 e# x: E I; I: I% ~! _safe_mode_exec_dir =
/ K# W7 r {7 S% |( e K. m0 b2 U% |* k1 w* o& }& j& P: R6 E
指定要执行的程序的路径,如: 0 g: Z& d# D. \/ _) C
, [& b" f. f' p F9 T3 j5 u9 r0 jsafe_mode_exec_dir = /usr/local/php/exec , Q7 y! R1 p3 Z6 x* A7 B
# }/ j. L, l$ d
然后把要用的程序拷到/usr/local/php/exec目录下,这样,象上面的被限制的函数还能执行
7 q$ R! r3 c# S: t; b该目录里的程序。
' A2 W- b& d9 ~/ `! A1 N* H0 T* ]3 T, o
关于安全模式下受限函数的详细信息请查看php主站的说明: 4 |6 D6 j8 Q; R+ G' X' f7 N- I: }' p
http://www.php.net/manual/en/features.safe-mode.php f8 s- ?2 y5 [3 `" [3 l' l% a# @
* ^3 k5 y& }) T1 m: k
3)disable_functions ! [, j# G% s0 V' q
2 e% M5 Y; V* M) x E) N
如果你对一些函数的危害性不太清楚,而且也没有使用,索性把这些函数禁止了。找到下面这) D" |- w+ x( a; U' d
行:
5 k$ F, b5 \& i- `" N9 U$ @, W( v0 j ]
disable_functions =
$ w% e! ^7 Z2 p/ U' B: b' \# s# I4 o$ s8 c
在”=“后面加上要禁止的函数,多个函数用”,“隔开。
8 M% c7 l+ X6 J$ Q4 ~2 F; J7 |. T" ?" l3 s
7 y1 e8 A" n+ y* L& v8 S4 p, ?
3、修改httpd.conf % M4 i& l" l5 v" \8 J5 y4 C
/ g' [) w/ G; r3 N2 G* ~
如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作( C3 R, s! P, H9 {- A. K
路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: 2 F- q9 P- M* e5 ~ W
6 n& A, n: T9 ?# O$ l2 t# Z
<Directory /usr/local/apache/htdocs>
/ L; h) g. A+ k) Jphp_admin_value open_basedir /usr/local/apache/htdocs * [0 T3 C0 c2 Q. q. B
</Directory> . d) y# F% _$ z* ?! G& `6 F% u
) J4 p; F2 u+ R0 S. y7 I
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打3 W1 V- F* R/ h" K4 t8 y( |
开的话会提示这样的错误: / j6 V# t( y/ H$ R7 K4 h' o
7 L2 e, h5 w4 F; A/ R5 _Warning: open_basedir restriction in effect. File is in wrong directory in
! q3 Q$ S: F" K9 D/usr/local/apache/htdocs/open.php on line 4
: }" c" S8 b9 ]3 a
# G% ?4 E+ y& r- f, ?等等。
" |5 l6 }$ y% w8 Y N+ n' ]9 f) ~! M0 @. k; z/ v
8 ^$ D8 ]- `+ \* a9 o4、对php代码进行编译 0 x! Z% \& o$ s2 i* @
I9 g4 r3 v5 i- g. YZend对php的贡献很大,php4的引擎就是用Zend的,而且它还开发了ZendOptimizer和
9 j$ k# H; F( g* a' SZendEncode等许多php的加强组件。优化器ZendOptimizer只需在http://www.zend.com注册就" X, J! g* A% u6 v
可以免费得到,下面几个是用于4.0.5和4.0.6的ZendOptimizer,文件名分别对于各自的系统
1 V# \: V( `! I9 N# X" l3 a:
' k2 J- }4 K$ E: n) ^! G$ j! \3 @- r4 ^
ZendOptimizer-1.1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz 0 N3 @7 S. u+ t9 v) T+ O3 s
ZendOptimizer-1.1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz
( d/ ]) h) T0 z& P( K3 Z% tZendOptimizer-1.1.0-PHP_4.0.5-Solaris-sparc.tar.gz : A# q, Z3 a1 G! P: a
ZendOptimizer-1.1.0-PHP_4.0.5-Windows-i386.zip
# K9 I, V1 U$ f- Z2 a* u! \5 n: ]$ r) w- v% ]6 a
优化器的安装非常方便,包里面都有详细的说明。以UNIX版本的为例,看清操作系统,把包里1 p" d( x ?2 J* K) l
的ZendOptimizer.so文件解压到一个目录,假设是/usr/local/lib下,在php.ini里加上两句$ B9 a7 l& e1 o4 Y; Q
:
6 ?( ^# x, {) k& c- k5 \. T) H/ X; Y6 P
zend_optimizer.optimization_level=15
# s/ t1 o3 H. @ J" Ezend_extension="/usr/local/lib/ZendOptimizer.so" 5 N" @: ~, d; L; U. k9 ?- B8 w
5 _7 L$ n) I) [
就可以了。用phpinfo()看到Zend图标左边有下面文字: 4 E+ c/ ]2 i& q7 g% ^
3 P6 \; W e9 a+ [* S7 y( J
with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies
- ^0 G, ~; n9 I; K( D' h/ M
+ Q2 E, H* T2 i2 Y* G那么,优化器已经挂接成功了。
$ Z: D/ C4 [5 Y0 [- W- R% U8 k$ H
6 E" F1 b( z7 ?9 F+ I ~但是编译器ZendEncode并不是免费的,这里提供给大家一个http://www.PHPease.com的马勇设; r! [+ f4 U& H" n
计的编译器外壳,如果用于商业目的,请与http://www.zend.com联系取得许可协议。
0 {/ {/ Z, E/ ^& D5 c1 A$ ]+ D# Y2 J' f. w$ i$ C4 ^ Y
php脚本编译后,脚本的执行速度增加不少,脚本文件只能看到一堆乱码,这将阻止攻击者进
0 E2 t; a+ L) w; ?, h9 E一步分析服务器上的脚本程序,而且原先在php脚本里以明文存储的口令也得到了保密,如! e+ f4 Y$ r& f' y) Z1 G1 U
mysql的口令。不过在服务器端改脚本就比较麻烦了,还是本地改好再上传吧。
& K; p3 q6 C8 A
( m- a% t1 }# C. E, g4 t' J* m% P& {6 p0 H
5、文件及目录的权限设置 8 m5 R% i8 J/ ?( w
. J+ S1 l4 b& y! b, V6 N
web目录里除了上传目录,其它的目录和文件的权限一定不能让nobody用户有写权限。否则,! }& k! T1 l0 y7 o8 o
攻击者可以修改主页文件,所以web目录的权限一定要设置好。
/ l5 _8 V% D0 x W" W; t$ x4 D$ [4 x \5 K- Y- C8 {
还有,php脚本的属主千万不能是root,因为safe_mode下读文件的函数被限制成被读文件的属
7 s7 Z; D1 x: M) z" Z N( r主必须和当前执行脚本的属主是一样才能被读,否则如果错误显示打开的话会显示诸如以下的
& O: e9 D' Y1 e f# v, A; a3 w错误:
& B; S0 ]# _% Z+ V+ k/ t& D8 }" g9 M5 Y! @ I/ y- R( [
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not 9 O7 P4 d( t9 l7 @" B
allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php 0 b. a0 ]! ?$ t: X' Y: p8 z: q
on line 3 0 `: o: Z* `- y3 ]2 s
; a0 u' K- u T' q/ z& `这样我们能防止许多系统文件被读,比如:/etc/passwd等。 5 [9 O# `4 j( i* `2 }
上传目录和上传脚本的属主也要设成一样,否则会出现错误的,在safe_mode下这些要注意。 0 O% n# p0 b+ S5 V; z6 N) B
3 l8 U( ?5 C& U5 e1 r1 T" M5 s; ?1 ]/ H1 j# l7 r" Y
6、mysql的启动权限设置 $ U9 r6 O- c" ?
+ q; s( l6 g, R& h9 vmysql要注意的是不要用root来启动,最好另外建一个mysqladm用户。可以在/etc/rc.local等4 v. O! w4 a. b8 y$ w+ w4 G
系统启动脚本里加上一句:
- G; ]: i/ s2 Z1 a7 f
" ?% I' b0 E; L" ssu mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start" c6 c6 J2 h( Q. T. o
: V1 a; y3 t5 ^
这样系统重启后,也会自动用mysqladmin用户启动mysql进程。 4 H& V" Y4 l6 U5 }
. @ P& ?6 A& |& ~. c* R2 i- @1 B. O8 g4 e9 @) j7 [
7、日志文件及上传目录的审核及
& N# o9 H5 }3 k& k y& N& Z- c4 j) G9 q6 K" ]
查看日志和人的惰性有很大关系,要从那么大的日志文件里查找攻击痕迹有些大海捞针,而且
0 E( d4 d5 j2 n' J也未必有。web上传的目录里的文件,也应该经常检查,也许程序有问题,用户传上了一些非8 R% z8 o$ w) M6 J; A$ z. k
法的文件,比如执行脚本等。 , Z! v, t2 B8 j! C& c0 |! H
8 P4 D7 k+ U2 O; e J
, _% K" O# m/ i. l8、操作系统自身的补丁
' j* L7 G* z* P0 R
( H S# o2 ]! c& E) C一样,给系统打已知漏洞的补丁是系统管理员最基本的职责,这也是最后一道防线。 : _$ w8 @5 @2 P4 Z o' D
1 V, r! P3 {" M# A' C' d- E
; P' C! h; d$ G& t t* h
经过以上的配置,虽然说不上固若金汤,但是也在相当程度上给攻击者的测试造成很多麻烦,. w3 P) Q0 {. G+ G# Z- \
即使php脚本程序出现比较严重的漏洞,攻击者也无法造成实际性的破坏。 # k- A9 _6 I0 i C1 I6 z
如果您还有更古怪,更变态的配置方法,希望能一起分享分享;) 1 I4 m; n0 X( Y, e2 [& h/ u
. I: y& ? d! K5 C9 {. g; n
$ J: P2 K% p8 C
参考资料: 8 L+ e7 d p7 C. b9 d9 P$ p
PHP Manual
% u' k$ z4 H" d$ \http://www.zend.com |
|
闽公网安备 35092202000206号 )
IP卡
狗仔卡
发表于 2004-5-31 00:23:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡