nginx+php 限制每个站点的目录范围,防止跨站

吾爱 发布于 2013/04/17 16:18
阅读 21K+
收藏 21

今天偶然发现,在php脚本中可以访问服务器上任何目录。

顿时一身冷汗啊。。

于是就上百度谷歌了半天,一开始就找到了一个php.ini中的open_basedir参数,设置这个参数即可限定php脚本的访问范围。

我们针对每个站点,需要php能够访问该站点所在目录以及/tmp/临时目录。

SO..看到有人这么写

open_basedir=.:/tmp/  

冒号的作用是隔开多个路径,这里面根据字面理解,第一个点就代表当前目录。

看起来是很完美了,OK,保存配置,重启php-fpm

结果nginx 报502错误。

研究了一会,发现 . 这种相对路径写法,至少在nginx+phpfastcgi下是行不通的。

好吧,暂时妥协

open_basedir=/home/wwwroot/:/tmp/

这样总行了,将php限制在所有站点的父目录,这样至少阻止了php访问服务器上web目录以外的目录。

到了这里,还是有隐患的,只要wwwroot下任意一个站点被拿到webshell,那么其他站点将不能幸免.

不甘心哪,度娘是找不到有用的信息了,都是些垃圾复制粘贴,于是去了谷歌。

搜了一下,找到一个遇到同样问题的鬼佬,里面有人给了一个方法,成功解决。

那就是在nginx 每个server下,加上

fastcgi_param  PHP_VALUE  "open_basedir=$document_root:/tmp/"; 

重启nginx,成功!你也可以把这行代码放到fastcgi.conf里,前提是你得在server{}中包含它。

至此,nginx + php5.3 是没有问题了。

然后我又在另外一台vps上,环境是php5.2 发现此方法不生效。

所以在这里请教高手,看看能不能得到一个简单的解决方案!


加载中
0
elonlucy2005
elonlucy2005
那阻止了之后访问那个不被允许的目录提示什么? 403?
吾爱
吾爱
如果php中屏蔽了错误提示后,是没有任何显示的。错误提示会告诉你open_basedir的范围
0
j
jyh149129
前几天也被这个问题搞得头疼,特别是有多个站点的虚拟主机。悲催的是服务器php是5.2.x,还不能升级。。。后来加了个apahce做后端来解决。5.3.x以上,对于这个问题解决还是很方便的。
吾爱
吾爱
本来还打算下一台server用5.2呢,很多老的程序用的zend optimizer加密,5.3跑不起来蛋疼。
0
大王叫我来卖萌
大王叫我来卖萌
老车. 原来你是搞PHP的!
吾爱
吾爱
老车是谁啊?
0
deleted
deleted

fastcgi又不是mod_php,   mod_php由apache直接调用,用户权限全部归属宿主apache, 所有站都是同一个www-data在跑,那当然存在跨站问题了。 

而fastcgi里web服务器只做数据中转,php由第三方独立进程在跑, 不同的站点用不同的用户/组启动相应的fastcgi进程组, 怎么可能会存在跨站

最怕的是明明用的fastcgi, 还像mod_php那样所有网站用同一个用户组启动fastcgi进程组,  那真叫自作孽......

柚子模板网CTO
柚子模板网CTO
回复 @CarltonCheng : 同上
苏生不惑
苏生不惑
一直用的是mod_php,它和fastcgi有什么区别?谢谢
deleted
deleted
回复 @Carlton.C.X.Z : 网站a, groupadd+useradd一个a/a, 创建一个/web/site_a的目录,权限归属于a:a, 用这个a用户启动相应的fastcgi进程(比如fpm), 网站b就照这样操作b:b, c就c:c
吾爱
吾爱
求教,怎么为不同的站点启用不同的用户,并且将浏览权限限制在站点目录内
0
eechen
eechen

引用来自“勇者天空”的答案

fastcgi又不是mod_php,   mod_php由apache直接调用,用户权限全部归属宿主apache, 所有站都是同一个www-data在跑,那当然存在跨站问题了。 

而fastcgi里web服务器只做数据中转,php由第三方独立进程在跑, 不同的站点用不同的用户/组启动相应的fastcgi进程组, 怎么可能会存在跨站

最怕的是明明用的fastcgi, 还像mod_php那样所有网站用同一个用户组启动fastcgi进程组,  那真叫自作孽......

运行php-fpm进程用户和网站目录用户相同 明显不安全.
如果攻击者利用PHP程序漏洞上传WebShell脚本,马上就可以修改网站文件,
这样跟在Win上开发一样,脚本对网站目录完全可写,权限简直是形同虚设.
nginx和php-fpm以nginx用户运行就很合适.
另外,请问php-fpm.conf该怎么配置多用户,而且配置后该怎么重启?
不同虚拟主机用不同用户,然后开PHP安全模式就足矣应付跨站问题.
itxx
itxx
回复 @CarltonCheng : 使用低权限账户来执行脚本是绝对正确的做法,例如上面同学提到的和httpd账户保持一致,因为,网站拥有者账户是作为网站文件的管理员账户,而httpd进程所属账户的权限则代表了普通来访者的权限,也即是匿名账户无需认证即可访问到你网站所需要具备的权限,而这两者之间是应该严格划分的,否则你搞再多安全措施也是白搭。
吾爱
吾爱
问一下,如果是nobody的话,那么php如何修改文件?很多时候是需要用php操作文件的啊。 安全模式开启后,会影响到很多功能吗?
0
eechen
eechen

引用来自“eechen”的答案

引用来自“勇者天空”的答案

fastcgi又不是mod_php,   mod_php由apache直接调用,用户权限全部归属宿主apache, 所有站都是同一个www-data在跑,那当然存在跨站问题了。 

而fastcgi里web服务器只做数据中转,php由第三方独立进程在跑, 不同的站点用不同的用户/组启动相应的fastcgi进程组, 怎么可能会存在跨站

最怕的是明明用的fastcgi, 还像mod_php那样所有网站用同一个用户组启动fastcgi进程组,  那真叫自作孽......

运行php-fpm进程用户和网站目录用户相同 明显不安全.
如果攻击者利用PHP程序漏洞上传WebShell脚本,马上就可以修改网站文件,
这样跟在Win上开发一样,脚本对网站目录完全可写,权限简直是形同虚设.
默认nginx和php-fpm以nobody用户运行就很合适.
另外,请问php-fpm.conf该怎么配置多用户,而且配置后该怎么重启?
不同虚拟主机用不同用户,然后开PHP安全模式就足矣应付跨站问题.

回复 @Carlton.C.X.Z : 在缓存cache和上传upload目录设置权限为777, 这样 apache/mod_php 和 nginx/fastcgi 都能对这些目录进行写操作, 为了避免这些可写的目录被上传 WebShell PHP脚本执行, 可以在这些目录禁止解析PHP并且拒绝外部访问PHP文件, 比如 Apache 可以在这些目录的.htaccess中加入:
php_flag engine off
<Files ~ "\.php$">
order allow,deny
deny from all
</Files>

0
eechen
eechen

PHP安全模式: http://cn2.php.net/manual/zh/features.safe-mode.php

安全模式比对的是脚本的拥有者是否和被操作的文件的拥有者,相同才会执行,
而且安全模式还会禁用掉部分函数:
http://cn2.php.net/manual/zh/features.safe-mode.functions.php

其实不用安全模式,在对应虚拟主机配置open_basedir做目录树限制更简单,
这样PHP所能打开的文件限制在指定的目录树,也能起到防护作用.
接着用disable_functions手动指定需要禁用的函数也很方便.

eechen
eechen
回复 @Carlton.C.X.Z : 手动管理只能麻烦点了, 不过像BlueHost这些虚拟主机商应该有自己的管理面板, 在用户购买后自动生成这些主机配置.
吾爱
吾爱
5.3的php.ini支持 [HOST=XXX] open_basedir= [HOST=BBBB] open_basedir= 这种形式的参数来对每个域名设置open-basedir.. 就是操作起来麻烦,一个个站点去添加
0
eechen
eechen

引用来自“eechen”的答案

引用来自“eechen”的答案

引用来自“勇者天空”的答案

fastcgi又不是mod_php,   mod_php由apache直接调用,用户权限全部归属宿主apache, 所有站都是同一个www-data在跑,那当然存在跨站问题了。 

而fastcgi里web服务器只做数据中转,php由第三方独立进程在跑, 不同的站点用不同的用户/组启动相应的fastcgi进程组, 怎么可能会存在跨站

最怕的是明明用的fastcgi, 还像mod_php那样所有网站用同一个用户组启动fastcgi进程组,  那真叫自作孽......

运行php-fpm进程用户和网站目录用户相同 明显不安全.
如果攻击者利用PHP程序漏洞上传WebShell脚本,马上就可以修改网站文件,
这样跟在Win上开发一样,脚本对网站目录完全可写,权限简直是形同虚设.
默认nginx和php-fpm以nobody用户运行就很合适.
另外,请问php-fpm.conf该怎么配置多用户,而且配置后该怎么重启?
不同虚拟主机用不同用户,然后开PHP安全模式就足矣应付跨站问题.

回复 @Carlton.C.X.Z : 在缓存cache和上传upload目录设置权限为777, 这样 apache/mod_php 和 nginx/fastcgi 都能对这些目录进行写操作, 为了避免这些可写的目录被上传 WebShell PHP脚本执行, 可以在这些目录禁止解析PHP并且拒绝外部访问PHP文件, 比如 Apache 可以在这些目录的.htaccess中加入:
php_flag engine off
<Files ~ "\.php$">
order allow,deny
deny from all
</Files>

有时cache缓存目录里的php脚本是需要解析的,这时不能禁用解析,但需要禁止外部访问该目录,这时可以在htaccess中添加:

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>

eechen
eechen
回复 @Carlton.C.X.Z : Nginx有HttpAccessModule模块http://wiki.nginx.org/HttpAccessModule
吾爱
吾爱
可是不用apache环境,只用nginx
0
jackkam
jackkam
是版本问题吧。5.3以上都支持你这方法 
关注此人
sfdf
0
y
ywq111
找到方案没?
y
ywq111
回复 @Carlton.C.X.Z : 你的5.2也是nginx+php-fpm?
吾爱
吾爱
5.2仍然没有找到好的办法
返回顶部
顶部