افزایش امنیت سرورهای دارای PHP
قطعا مهم ترین کاری که میتوان برای افزایش بهره وری و امنیت سرورهای حاوی PHP انجام داد بروز رسانی مستمر به نسخههای پایدار است.
مدیران سرور بهانههای بسیاری برای بروز رسانی نکردن سرورهای خود میآورند که غالبا غیر موجه هستند.
بالابردن امنیت PHP با php.ini
تمامی پیکربندی های PHP را میتوان در این فایل انجام داد. برخی از مهم ترین پیکربندیهای این فایل عبارتند از:
- موقعیت ذخیره سازی Cache ها
- ذخیره سازی Log ها
- محدودیتهای دسترسی
- ذخیره موقعیت زمانی در php
- ذخیره و تنظیم موارد مرتبط با آپلود اطلاعات
- فعال سازی تمام یا بخشی از کتابخانههای موجود در php و غیر فعال کردن بخشی از آن ها
- و ...
در پایین به صورت خلاصه قصد داریم مهم ترین تنظیمات این فایل را به شما آموزش دهیم:
فعال سازی safe mode در php.ini برای افزایش حداکثری امنیت
قابلیت safe_mode قابلیتی بسیار مهم است که منجر به افزایش امنیت PHP میشود. این قابلیت وظیفه جلوگیری اجرای کدهای مخرب که به آنها شل گفته میشود را دارد.
گاهی ممکن است هکرها بتوانند تا حدودی به سایت یا سرور شما نفوذ کنند که برای تکمیل فرایند نفوذ خود نیازمند افزایش دسترسی دارند که در این موارد معمولا از شلها بهره میگیرند.
اگر از سرور اختصاصی استفاده میکنید حتما این قابلیت را فعال کنید ولی اگر سروری استفاده میکنید که در آن سایتهای زیادی وجود دارد، این احتمال وجود دارد که سایتها با مشکل مواجه شوند. بنابر این تنها برخی از قابلیت های safe_mode را غیر فعال میکنیم:
sql.safe_mode = On
البته برای تکمیل امنیت باید قابلیت magic_quotes_gpc را نیز غیر فعال کنیم تا نفوذگر نتواند از علامتهای نقل قول برای فرایند نفوذ خود استفاده کند:
magic_quotes_gpc = Off
محدود سازی منابع و دسترسیها در PHP
تنظیمات زیر را ببینید:
max_execution_time = 60
max_input_time = 60
memory_limit = 90M
post_max_size = 16K
در بالا همانطور که میبنید برای چهار فاکتور مهم محدودیت اعمال کردیم.
max_execution_time: حداکثر زمان اجرای فرمانها است.
max_input_time: حداکثر زمان ارسال اطلاعات.
memory_limit: حداکثر میزان استفاده از رم.
post_max_size: حداکثر سایز داده با متد post.
بستن قابلیت Upload و ورژن PHP
با دستور زیر قابلیت Upload را میبندید تا متجاوزان نتوانند چیزی را Upload کنند:
file_uploads = Off
مهم ترین کاری که یک هکر میکند آپلود فایلهای مخرب روی سرور شماست.
بستن قابلیت مشاهده ورژن PHP:
expose_php = Off
اهمیت بسیاری دارد که هکرها نفهمند چه نسخهای از PHP روی سرور شما نصب است. گاهی هکرها با اطلاع از نسخه php و جستجو در باگهای آن میتوانند به سرور شما نفوذ کنند.
غیر فعال کردن فانکشنها و کتابخانههای غیر ضروری برای امنیت بیشتر
PHP توابع بسیاری دارد که برخی بسیار ضروری هستند ولی قسمتی از این توابع نیز کاربرد چندانی ندارند و باید آنها را غیر فعال کرد، چون این توابع ممکن است باعث تسهیل فرایند نفوذ شوند.
در زیر لیستی از این توابع را غیر فعال میکنیم:
disable_functions = symlink,curl_setopt,curl_exec,curl_init,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,php_ini_scanned_files,shell-exec,system,dl,ctrl_dir,phpini,tmp,safe_mode,systemroot,server_software,get_current_user,HTTP_HOST,ini_restore,popen,pclose,exec,shell_exec,suExec,passthru,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_setegid,posix_seteuid,posix_setgid,posix_times,posix_ttyname,posix_uname,posix_access,posix_get_last_error,posix_mknod,posix_strerror,posix_initgroups,posix_setsid,posix_setuid,perl,rsync,wget,./,python,touch,whoami,cat,perm,find,phpinfo,php_uname
برخی از توابع فوق باعث اجرای شلهای خطرناک و یا باعث ایجاد symlink در سرور میشوند.