اموزش تصویری بالا بردن امنیت php

[supportvps]

سلام خدمت دوستان یه سری آموزش که واقعا به درد کار با سرور میخوره رو واستون در چند پست قرار میدم اگر وقت شد فیلم هم قرار میدم


اگه با سرورتون هاست اشتراکی میفروشید با دقت این تنظیمات رو انجام بدین چون ممکنه بعضی جلوی اجرای بعضی از اسکریپت هارو بگیره
امنیت رو باید تا حدی بالا برد که به روند کار آسیب نزنه وگرنه میشه سرور رو کلا خاموش کرد که هیچ وقت هک نشه

هم با ssh کار میکنم هم با cpanel
من با ویرایش گر nano کار میکنم
Ctrl+w = جست و جو در فایل
Ctrl+x = ذخیره کردن فایل

فایل php.ini را پیدا کنید

کد HTML:

find / -name php.ini

برای من اینجاست

کد HTML:

/usr/local/lib/php.ini

همیشه توصیه شده که safe mode (حالت امن) روشن باشد
بعضی وقت ها برای بعضی از اسکریپت ها مشکل ساز خواهد بود
برای فعال کردن آن:

کد HTML:

safe_mode = On

در برخی موارد شما می خواهید مالکیت استفاده از یک گروه به بررسی شود در این حالت باید:

کد HTML:

safe_mode_gid = On

اگر شما می خواهید فولدر را محدود نمایید که می تواند فایل ها و یا اجرایی داشته باشد
مقادیر زیر را به گونه زیر تنظیم کنید

کد HTML:

safe_mode_include_dir = /path/to/dir
safe_mode_exec_dir = /path/to/exec/dir

این مسیر عملگرهای فایل php رو محدود به پوشه مشخص شده میکنه.
این مقدار را من اضافه نکردم چون برای من مشکل ساز شد!!!!!

کد HTML:

open_basedir = /path/to/web/root

غیر فعال کردن بعضی از تابع های php

من یک سری تابع آماده کردم که با غیر فعال کردنش مشکلی به اون صورت به وجود نمیاره

این تابع ها بعضی هاش اگه باز باشه واقعا خطرناکه

با غیر فعال کردن بعضی از این تابع ها بعضی از اسکریپت ها به مشکل میخورن

کد HTML:

disable_functions = "hell,symlink,shell_exec,ini_restore,imap_body,imap_list,imap_open,popen,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,socket_clear_error,socket_close,socket_connect,socket_get_option,socket_getpeername,socket_getsockname,socket_last_error,socket_read,socket_recv,socket_recvfrom,socket_send,socket_sendto,socket_set_block,socket_set_nonblock,socket_set_option,socket_shutdown,socket_write,readlink,symlink,link,pfsockopen,ini_alter,dl,openlog,syslog,pcntl_exec,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,fpassthru,system,passthru,exec,proc_close,proc_get_status,proc_nice,proc_terminate,shell_exec,posix_access,posix_ctermid,posix_errno,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_initgroups,posix_isatty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,ini_get_all,php_uname,phpinfo"

نمایش ارور های php اطلاعاتی را در اختیار هکر قرار میدهد که میتواند
خطرناک باشد.این مقدار برای زمانی است که اسکریپتی ارور دهد بخواهیم رفع
مشکل کنیم

مقدار زیر را به گونه زیر تغییر دهید

کد HTML:

display_errors = Off

مقدار زیر را به گونه ی زیر تنظیم کنید

کد HTML:

register_globals = Off

برای جلوگیری از سرقت session ها مقادیر زیر را قرار دهید

کد HTML:

session.save_path = /var/lib/php
session.cookie_httponly = 1
session.referer_check = your_url.tld