فعال کردن safe_mode در php برای امنیت بیشتر

با فعال کردن safe_mode در php خود می توانید امنیت سرور خود را بیشتر کنید قبل از انجام تغییرات لازم است از موارد زیر اطلاع داشته باشید
safe_mode در php چیست ؟ :با فعال کردن safe_mode در php.ini می توانید از اجرا فایل های شل جلوگیری کنید. safe_mode از دستورات خطرناکی که می تواند توسط یک فایل php روی سرور برای ورود هکر و دسترسی به اطلاعات اجرا شود جلوگیری می کند.

http://www.tehranhost.com/learn/safe_mode-php.jpg

آیا فعال کردن safe_mode مشکلی برای سایت ها ایجاد می کند ؟ : در صورت فعال کردن safe_mode ممکن است برخی از قسمت های سیستم های مدیریت محتوا ممکن است با مشکل مواجه شود.
safe_mode روشن یا خاموش ؟ : فعال بودن این قسمت در php برای امنیت بسیار پیشنهاد می شود اما ممکن است فعال بودن آن در سرور های هاستینگ مشکلاتی را ایجاد کند اگر safe_mode را در سرور های هاستینگ ( سرور های اشتراکی ) فعال می کنید سایت های خود را کنترل کنید تا با مشکل مواجه نشود و در صورت وجود مشکل safe_mode را با استفاده از php.ini اختصاصی یوزر برای سایت مورد نظر غیر فعال کنید.

برای فعال کردن safe_mode توسط ssh دستورات زیر را وارد کنید :
دستور php –ini را وارد کنید تا مسیر فایل php.ini شما نمایش داده شود. مسیر بعد از جمله Loaded Configuration File نمایش داده می شود.
سپس با استفاده از دستور nano فایل php.ini سرور خود را ویرایش کنید. مانند : nano /test/test/php.ini در این مثال تست پوشه های مسیر شما است.
سپس با کلید ctrl + w کلمه safe_mode = را جستجو کنید و مقدار Off ر ابه on تغییر دهید و فایل را توسط کلید ctrl و سپس کلید Enter ذخیره کنید.

برای فعال کردن safe_mode از محیط گرافیکی سی پنل (whm) موارد زیر را انجام دهید
ابتدا وارد whm شوید و از قسمت Service Configuration روی گزینه PHP Configuration Editor کنید.
سپس روی قسمت safe_mode کلیک کنید و روی ON کلیک کنید.

برای فعال کردن safe_mode از محیط گرافیکی دایرکت ادمین موارد زیر را انجام دهید
ابتدا وارد admin دایرکت ادمین شوید و سپس روی گزینه File Editor کلیک کنید و فایل php.ini خود را ویرایش کنید.
سپس مقدار safe_mode = را on وارد کنید.
برای تست این تغییرات می توانید یک فایل php در یکی از سایت های خود ایجاد کنید و کد زیر را در آن وارد کنید و فایل را اجرا کنید و تنظیمات php را مشاهده کنید.
< ?php
phpinfo();
?>

منبع : مرکز آموزش تهران هاست

با سلام
بر روی Php 5.4 دیگه چیزی به عنوان safemode وجودندارد.

فعال کردن safe mod امنیت رو افزایش نمیدهد بلکه انعطاف پذیری رو کاهش میدهد.

روی 5.3 هم نیست خوشبختانه .
نکنید این کارو .

یه هاستی رو میشناسم حتی phpinfo رو هم بسته/:)
اسمشو نمیگم . :65:

نقل قول:

---

نوشته اصلی توسط rezaonline.net

روی 5.3 هم نیست خوشبختانه .
نکنید این کارو .

یه هاستی رو میشناسم حتی phpinfo رو هم بسته/:)
اسمشو نمیگم . :65:

---

خوب کاری میکنه :d منم بستم

همین کارو میکنید مشتری فقط یه بار ازتون هاست میخره دیگه . :66:

مشتری های شما شاید دنبال phpinfo و باگ های سرورتون باشه ولی مشتری های ما دنبال این چیزا نیستند.

ببینید خب من وقتی دارم یه برنامه مینویسم باید بدونم روی سرور چه تابع هایی مسدود هستن دیگه .
توی phpinfo هیچ اطلاعات مخربی نداره .
من نمیدونم شما چرا انقدر وسواس هستید .

شاید اگه مدیران سرور کمی برنامه نویس بودن الان مشکل ما این نبود . :(

من خودم ۱۰ ساله برنامه نویسی php‌ میکنم. اونم به طور تخصصی.
۴ سالم هست ادمین سرورم
۲ سال هم امنیت کار کردم.
توابع مورد نیاز برنامه نویس مشخصه. مطمئنا هیچ ادمینی اون توابع رو نمیبنده.

منظورم شما نبود .
اما قبول کنید خیلی هایی که توی اینکار هستن اصلاً برنامه نویس نیستن !

یه جای توی همین فروم خوندم یه فردی توضیح داده بود مثلاً برای کانفیگ mysql انجین innodb رو غیرفعال کنید ، خب این یعنی چی ؟؟؟؟

و اما شما ، اگه لازم میدونید جواب سوال من رو بدید .
چر phpinfo رو غیرفعال میکنید؟

خوب اگه دید امنیتی نسبت به اطلاعات داشته باشیم میتونیم اطلاعات رو تو ۳ دسته تقسیم بندی کنیم :

۱ - اطلاعاتی که دیگران باید اونو حتما بدونن. مثلا اینکه شما برنامه نویسی باید به دیگرون بگی که کار بگیری
۲ - اطلاعاتی که دیگران هرگز نباید بدونن مثل رمز کارت عابربانک شما
۳ - اطلاعاتی که تو ۲ دسته بالا نیستند. یعنی اطلاعاتی که منعی نداره دیگران ازش اطلاع داشته باشند. خیلی ها جلوی افشای این اطلاعات رو نمیگیرن ولی خطرناک ترین اطلاعات همن دسته از اطلاعات هستند.

مثلا میزنم. فرض کنید شما دیشب تو یاهو با مدیر سرورتون سر اینکه چرا phpinfo بستست دعوای سختی میکنید. شما این موضوع رو به من میگید. از دید خودتونم اصلا اهمیتی نداره که من این موضوع رو بدونم. شاید خوشحالم بشید که زیرآب مدیر سرور رو زدین دیگه من مشتریش نشم. ولی من به راحتی از همین موضوع میتونم سو استفاده کنم. کافیه یه آی دی با اسم و مشخصات شما بسازم و پی ام بدم به مدیر سروتون و از اینکه دیشب بهش بی احترامی شده مغذرت خواهی کنم یکم هم هندونه بزارم زیر بغلش. نهایتا هم ازش بخوام به علت اینکه ایمیل قبلی هک شده سریعا اطلاعات هاست رو عوض کنه و اونو به ایمیل جدید بفرسته. کافیه که مدیر سرورتون یکم شاسکول باشه و این کارو انجام بده.

امیدوارم متوجه موضوع شده باشید.

در رابطه با سوال شما هم به دلایلی که عرض شد ترجیح میدم جواب ندم :d

فایل پیوست 9619
دیگه دیگه ، ماس مالی دیگه ...

راستی توی مثال خودتون اگه phpinfo باز باشه این سوتی انجام نمیشه ها !!!! :65:

دوست عزیز ماست مالی نیست. منظورم منو نگرفتی. چیزی که دلیلی نداره کسی بدونه رو نباید گفت.
منظورم سوال شما نیست ها. منظورم PHPINFO‌هست. کاربر اند یوزر که کاری با phpinfo‌نداره
برنامه نویسم که بخواد یه برنامه عادی بنویسه بازم مشکلی نخواهد داشت
پس چه دلیلی داره که بخوای اطلاعات وبسرور و نسخه php و فانشکشن های بسته و نسخه زندو هزار تا چیز دیگرو در اختیار قرار بدی؟

اگه لزوماً تموم مشتری های شما بدون دونستن اون اطلاعات کارشون راه می افته ، خب مشکلی نیست ، حرف شما درست .
اما اگه مشتریهاتون برنامه نویس هستن به نظر من لازمه اطلاعات لازمه رو در اختیارشون بذاری .
برای مثال عرض کنم اسکرپتی رو روی هاست یکی نصب کردیم ، یک خطاهایی میداد که توی عمرم ندیده بودم در حالیکه روی هاست خودم بدون مشکل کار میکرد .
با بررسی phpinfo فهمیدم که تفاوتشون off بودن مقدار allow_url_fopen هست .

اینو مثال عرض کردم .
یه چیزم بگم خدمتتون حساسیت بیش از حد ، یه جورایی بی رضایتی میاره .
امیدوارم همیشه شما و دوستان اولین اصلتون رضایت مشتری باشه .
موفق باشید .

فعال کردن safe mod امنیت رو افزایش نمیدهد بلکه انعطاف پذیری رو کاهش میدهد. دوستان چرا فعال کردنش باعث مشکل می شود و اکثرا دوستان می کند فعال نباشه بهتره