11.28 限定某个目录禁止解析php；11.29 限制user_agent；11.30-11.31

Posted 2020-10-26

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了11.28 限定某个目录禁止解析php；11.29 限制user_agent；11.30-11.31相关的知识，希望对你有一定的参考价值。

扩展：

apache开启压缩：

http://ask.apelearn.com/question/5528

apache2.2到2.4配置文件变更：

http://ask.apelearn.com/question/7292

apache options参数：

http://ask.apelearn.com/question/1051

apache禁止trace或track防止xss ：

http://ask.apelearn.com/question/1045

apache 配置https 支持ssl ：

http://ask.apelearn.com/question/1029

11.28 限定某个目录禁止解析php

访问控制 – 禁止php解析

1. 编辑虚拟主机配置文件,针对网站下的目录设定禁止解析php文件！：

[[email protected] ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

php_admin_flag engine off

#<FilesMatch (.*)\.php(.*)>

#Order allow,deny

#Deny from all

#</FilesMatch>

</Directory>

技术分享图片

2. 创建目录：

[[email protected] ~]# mkdir /data/wwwroot/111.com/upload

3. 创建编辑123.php到upload目录下：

[[email protected] ~]# vim /data/wwwroot/111.com/upload/123.php

插入内容：

<?php

echo "123.php";

4. 检测虚拟机配置文件是否有错误：

[[email protected] ~]# /usr/local/apache2.4/bin/apachectl -t

3. 启动apache2.4/httpd ：

[[email protected] apache2.4]# /usr/local/apache2.4/bin/apachectl start

4. 重新加载配置文件(不会重启服务)：

[[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful

5. curl访问111.com网站下的限定禁止解析目录upload下文件：

php解析不了,会显示源代码!

(源代码显示出不安全,建议把注释掉的打开,直接403！)

[[email protected] ~]# curl -x127.0.0.1:80 'http://111.com/upload/123.php'

6. 编辑虚拟主机配置文件：

打开删除FilesMatch (.*)\.php(.*)这个配置所有行前的注释符#

[[email protected] ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

php_admin_flag engine off

Order allow,deny

Deny from all

</FilesMatch>

</Directory>

技术分享图片

7. curl访问111.com网站下的限定禁止解析目录upload下文件：

php解析不了,会显示源代码!

(源代码显示出不安全,建议把注释掉的打开,直接403！)

[[email protected] ~]# curl -x127.0.0.1:80 'http://111.com/upload/123.php

技术分享图片

11.29 限制user_agent

? user_agent可以理解为浏览器标识

? 核心配置文件内容

1. 编辑虚拟主机配置文件：

[[email protected] ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

插入内容：

（curl 和baidu.com是被匹配筛选的关键词，NC是区分大小写，OR是或者）

RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]

RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]

RewriteRule .* - [F]

</IfModule>

技术分享图片

2. 检测虚拟机配置文件是否有错误：

[[email protected] ~]# /usr/local/apache2.4/bin/apachectl -t

3. 重新加载配置文件(不会重启服务) ：

[[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful

4. curl 测试：

[[email protected] ~]# curl -x127.0.0.1:80 'http://111.com/123.php'

技术分享图片

5. 查看访问日志：

[[email protected] ~]# tail /usr/local/apache2.4/logs/111.com-access_20170708.log

技术分享图片 6. curl -A 指定user_agent(hao hao 就是模拟指定的)

[[email protected] ~]# curl -A "hao hao" -x127.0.0.1:80 'http://111.com/123.php' -I

技术分享图片

7. 查看访问日志：

[[email protected] ~]# tail /usr/local/apache2.4/logs/111.com-access_20170708.log

技术分享图片

技术分享图片 11.30 PHP相关配置-11.31 PHP相关配置(上下)

1. 在111网站根目录下，创建index.php，内容如下：

[[email protected] ~]# vi /data/wwwroot/111.com/index.php

插入内容：

<?php

phpinfo();

2. 拷贝：

[[email protected] ~]# cp /usr/local/src/php-5.6.30/php.ini-development /usr/local/php/etc/php.ini

3. 重新加载配置文件(不会重启服务)

[[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful

4. 在Windows游览器中，访问111网站的index.php，就可以看到php.ini所在路径了，可以在php.ini这个文件中做些配置：

技术分享图片

5. 编辑 php.ini，安全选项，禁掉这些参数：

[[email protected] ~]# vim /usr/local/php/etc/php.ini

插入内容：

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

技术分享图片