三、 服务程序的安全设置

到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是非常正确的，也希望能够对你有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。

1. Apache的安全设置

Apache的核心设置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文件就是在/usr/local/apache2/conf/httpd.conf ，如果你是使用ports等安装的，配置文件应该是在/etc或/usr/local/etc目录下。使用ee或者vi打开配置文件：

# ee /usr/local/apache2/conf/httpd.conf

下面我们就要进行比较多的安全设置了，基本的服务、端口、主目录等等设置就不说了，只讲与安全有关的设置。

(1)指定运行Apache服务的用户和组

这是比较重要的，因为权限是继承的，如果运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认设置如下(去掉了注释信息)：

(2) Apache的日志文件

Apache的日志文件是非常重要的，可以发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。它的默认选项是：

# 错误日志存放目录，默认是存放在apache安装目录的logs下

ErrorLog logs/error_log

# 日志记录的级别，级别有debug, info, notice, warn, error, crit等，默认是“warn”级别

LogLevel warn

# 访问日志记录的格式，每一种格式都有不同的内容，根据你的需要进行定制，以获取最多访问信息

# 使用上面格式的那一种，默认是使用common

CustomLog logs/access_log common

文件格式预定义的格式内容：

你可以定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。

注意，日志文件是由运行Apache的用户进行打开的，要注意该文件的安全，防止被黑客改写或者删除。

(3) Apache服务信息显示控制

在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的：

ServerSignature On

默认为On，那么将显示所有信息：

我故意访问一个不存在的文件：http://www.target.com/404.html

那么就会在给的错误提示中显示如下信息：

Apache/2.0.53 (Unix) PHP/4.3.11 Server at target.com Port 80

所有Apache和PHP的信息暴露无遗，这是很不安全的。当然同时还有Off和EMail选项，Off将不显示任何信息，EMail将显示管理员的邮箱地址，建议设为Off或者EMail，这样能够避免泄漏Apache服务器的信息给黑客。

(4) 目录浏览

在httpd.conf中可以设置apache能够对一些没有索引文件的网页目录进行目录浏览：

这是不合适也不安全的，建议不需要目录浏览：

(5) 用户主页

设置httpd.conf中的:

UserDir public_html

能够使得每个使用系统的用户在自己的主目录下建立 public_html 目录后就能够把自己的网页放进该目录，然后通过:

http://www.target.com/~用户名/网页 就能够显示自己的网页，这是不安全的，而且对于我们服务器来讲，这没有必要，所以我们直接关闭该功能：

UserDir disabled

或者把该内容改名，改成 一个黑客比较不容易猜到的文件名，比如：

UserDir webserver_public_htmlpath

也可以只允许部分用户具有该功能：

UserDir enabled user1 user2 user3

(6) CGI执行目录

如果你的apache要执行一些perl等cgi程序，那么就要设置一下选项：

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

但是这也给了黑客利用一些不安全的cgi程序来进行破坏，所以如果你不需要cgi的话，建议关闭该选项：

#ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

(7) 控制PHP脚本只能访问指定目录

在httpd.conf添加如下内容：

php_admin_value open_basedir /usr/www

后面的路径是你需要PHP脚本能够访问的目录，如果PHP脚本想要访问其他目录将出项错误提示。

(8) 目录访问控制 (未完)

这项内容最复杂，同时涉及的东西也比较多，我只能简单说一下，不清楚请参考其他文章。

比如下面的内容：

就是允许访问每一个目录，里面设置的是允许执行的动作，一般包含的动作有：Options、AllowOverride、Order、Allow、Deny。

Options是只对指定目录及其子目录能够执行的操作，Indexes、Includes、FollowSymLinks、ExecCGI、MultiViews、None、All等操作。

AllowOverride是指定目录访问的权限，当然也可以通过 AccessFileName文件指定的 .htaccess 来控制。它的操作有：None、All、Options、FileInfo、AuthConfit、Limit等。

Order、Allow、Deny三个指令必须配合来控制目录访问权限。Order指定检查次序的规则，比如Order Allow， Deny，表示先按Allow检查，如果不匹配再按Deny进行检查。Order Deny, Allow ，表示先按Deny规则检查，如果不满足条件，再按Allow进行检查。

控制目录访问权限的文件

默认在Unix平台下能够使用 .htaccess 来对目录权限进行规则定义，但是这是不安全的，建议关闭，默认的选项：

AccessFileName .htaccess

建议设成：

#AccessFileName .htaccess

全部目录权限定义使用httpd.conf中的定义，不使用 .htaccess。

(9) 用户访问认证

这个技术非常重要，能够控制一些非法用户访问本内容。假设我们的网站: http://www.target.com/admin 是我们的后台管理目录，我不允许一些非法用户进行访问，那么我就必须设定对该目录访问是需要验证的。

先在httpd.conf中加入要进行访问认证的目录：

上面我们就设置了我们的 /usr/www/admin目录是必须进行认证才能访问的，接着我们设置访问密码：

那么下次任何用户访问http://www.target.com/admin目录的时候就需要输入用户名login_name和你设置的密码。

2. PHP安全设置

PHP本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式，所以要保证安全，PHP代码编写是一方面，PHP的配置更是非常关键。

我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行php能够更安全。

整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：

safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。

建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = /usr/bin
一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = /tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = /usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = /usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问/etc/passwd等文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = /usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet www.target.com 80 的时候，那么将无法看到PHP的信息

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：

register_globals = Off

当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET[’var’]来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ’ 转为 \’等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = /usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

3. Mysql的安全设置

我们把Mysql安装在 /usr/local/mysql目录下，我们必须建立一个用户名为mysql，组为mysql的用户来运行我们的mysql，同时我们把它的配置文件拷贝到 /etc目录下：

使用用户mysql来启动我们的mysql:

# /usr/local/mysql/bin/mysqld_safe -user=mysql &

(1) 修改root用户的的口令

缺省安装的mysql是没有密码的，所以我们要修改，以防万一。下面采用三种方式来修改root的口令。

*  用mysqladmin命令来改root用户口令

＃ mysqladmin -uroot password test

这样，MySQL数据库root用户的口令就被改成test了。（test只是举例，我们实际使用的口令一定不能使用这种易猜的弱口令）

*  用set password修改口令：

mysql> set password for rootlocalhost=password(’test’);

这时root用户的口令就被改成test了。

*  直接修改user表的root用户口令

这样，MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用户还可以用root用户及空口令登陆，直到重启MySQL服务器。

(2) 删除默认的数据库和用户

我们的数据库是在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要。mysql初始化后会自动生成空用户和test库，这会对数据库构成威胁，我们全部删除。

我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示：

(3) 改变默认mysql管理员的名称

这个工作是可以选择的，根据个人习惯，因为默认的mysql的管理员名称是root，所以如果能够修改的话，能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库，把root用户改为"admin"

(4) 提高本地安全性

提高本地安全性，主要是防止mysql对本地文件的存取，比如黑客通过mysql把/etc/passwd获取了，会对系统构成威胁。mysql对本地文件的存取是通过SQL语句来实现，主要是通过Load DATA LOCAL INFILE来实现，我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件。

禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数：

set-variable=local-infile=0

(5) 禁止远程连接mysql

因为我们的mysql只需要本地的php脚本进行连接，所以我们无需开socket进行监听，那么我们完全可以关闭监听的功能。

有两个方法实现：

* 配置my.cnf文件，在[mysqld]部分添加 skip-networking 参数

* mysqld服务器中参数中添加 --skip-networking 启动参数来使mysql不监听任何TCP/IP连接，增加安全性。如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理。