امن سازی PHP در سرور
فایل config PHP با نام php.ini می باشد و برای یافتن فایل config PHP در هر سرویس کافی است از دستور زیر استفاده نماییم:
php --ini
متاسفانه بسیاری از کاربران PHP و مدیران نا آشنا با گزینه های مختلف که در فایل php.ini و فایل پیکربندی آن توجه نمیکنند. با استفاده از چند گزینه مربوط به امنیت در فایل پیکربندی شما می تواند تا حد زیادی وضعیت امنیتی از برنامه های کاربردی وب در حال اجرا بر روی سرور خود را تقویت نمایید.
Safe Mode
این ویژگی برای حل مشکل امنیت اشتراک در سرور اضافه شده است و از نسخه PHP6 به بعد حذف گردیده است. اگر تابعی در یک فایل در یک سرور سایر فایل ها با مالکیت مشابه را تحت تاثیر قرار می دهد کنترل می نماید. برای فعال کردن آن:
safe_mode =on |
در برخی موارد شما می خواهید مالکیت استفاده از یک گروه بررسی شود:
safe_mode_gid = On |
اگر می خواهید دایرکتوری را محدود نمایید که ممکن است فایل های اجرایی داشته باشند:
safe_mode_include_dir = /path/to/dir safe_mode_exec_dir = /path/to/exec/dir |
Restricting Includes
این مسیر عملگرهای فایل PHP را محدود به پوشه مشخص شده می نماید. این مورد برای جلوگیری از خطر جستجو مهاجمان برای راهی برای استفاده از فایل های محلی در اسکریپتهای PHP از طریق وب سرور می باشد. برای فعال سازی خط زیر باید وجود داشته باشد:
open_basedir = /path/to/web/root |
Disabling Functionality
توابع خاص در PHP وجود دارد که شما احتمالا نمی خواهید که به دلیل خطری استفاده از آنها در برخواهد داشت توسعه دهید. این احتیاط امنیتی است موثر در متوقف کردن مهاجم که به نحوی موفق به آپلود یک اسکریپت PHP، نوشتن یک فایل سیستم، و یا حتی شامل یک فایل پی اچ پی از راه دور میباشد. شما باید توابع خطرناک مانند shell_exec() یا system() غیر فعال نمایید:
disable_functions = Disable Functions |
توابع مهمی که باید Disable شود:
posix_setpgid, posix_setsid, posix_setuid,posix_setgid,posix_uname,posix_kill,posix_mkfifo,shell_exec,snmpget,ini_restore,mysql_list_dbs,popen,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,escapeshellarg,escapeshellcmd,readlink,symlink,link,pfsockopen,ini_alter,dl,openlog,syslog,putenv,pcntl_exec,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,fpassthru,detcwd,system,passthru,exec,popen,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,set_time_limit,show_source,symlink,tmpfile,tempnam
Preventing Information Disclosure
حمله اغلب برای استفاده از اطلاعاتی که وب سرور شما در معرض نمایش قرار می دهد. منظور به دست آوردن اطلاعات در مورد پیکربندی سرور، طرح نرم افزار، و قطعات می باشد. پیام های خطا در برخی از مسیرهای رایج ترین راه افشای اطلاعات مانند مسیر نصب برنامه، اتصال به پایگاه داده، مدل داده وجزئیات مانند table و نام column، و جزئیات اسکریپت مانند متغیر ها میباشد. برای غیر فعال کردن نمایش خطا باید:
display_errors = Off |
Disable Globals
Global variables در نسخه های PHP3 به بعد نیز وجود دارند. در اغلب توزیعهای ثبت نام متغیر های جهانی برای تنظیم کردن کاربدی ندارند. (و خوشبختانه آن را در نسخه های آینده از PHP پشتیبانی نمی شود). Register globals اجازه می دهد تا متغیرهای HTTP مختلف به بدون تعیین منبع خود استفاده شوند. برای غیر فعال کردن آن:
register_globals = Off |
Disable Remote File Includes
حمله اغلب به تلاش برای شناسایی آسیب پذیری و گنجاندن فایل را در برنامه های کاربردی و سپس استفاده از اسکریپتهای پی اچ پی مخرب برای نوشتن در این فایل ها صورت می پذیرد. برای مانع شدن از اسکریپت های از راه دور و اجرای اسکریپت ها بر روی سیستم شما باید:
allow_url_fopen = Off allow_url_include = Off |
Restrict File Uploads
اگر شما در حال استفاده از قابلیت آپلود فایل در هر یک از اسکریپت های PHP خود نیستید ایده خوبی است آن را خاموش نمایید و سرعت تزریق اسکریپت های مخرب به برنامه های کاربردی وب خود را کاهش دهید.
file_uploads = Off upload_tmp_dir = /var/php_tmp upload_max_filezize = 2M |
Protect Sessions
سرقت یک حمله محبوب است که اجازه می دهد تا یک کاربر مخرب به ربودن session کاربر مشروع نماید. با استفاده از جلسه ربودن یک مهاجم می تواند مجوز و دسترسی به بخشهایی از برنامه های کاربردی وب داشته باشد.
session.save_path = /var/lib/php session.cookie_httponly = 1 session.referer_check = your_url.tld |