各位站长大家下午好，先自我介绍一下，我是来自无锡太湖明珠网的毛伟，我们今天下午的话题是PHP+MYSQL类社区的服务器通用安全防护措施，虽然这个话题，有一个前提，就是面对对象是那些使用自己独立服务器的站长，如果现在没有使用独立服务器的站长也希望可以先了解了解，相关知识，相信你们很快就会有独立服务器的到时候就派的上用处了，安全 和 危险是相对的，这世界上没有绝对的安全和绝对的危险。如果有不太明白的同学可以参考下爱因斯坦的 狭义相对论。

 

　　首先声明下，下面说所的这些防护措施，不是说照着做了就能保证服务器不被黑，因为我们所使用的大部分都是开源的社区程序，开源就等于不可避免的存在漏洞。那么这些防护措施的出发点，就是在程序产生漏洞的时候，尽可能的避免遭受攻击所影响的范围。比如服务器沦陷，整个服务器给黑客控制。我们今天所讲的防护措施分成服务器环境安全，php安全设置，mysql安全设置几个方面。首先讲一下服务器环境方面的安全措施，一般现在跑PHP+MYSQL类社区的服务器无非就是小流量的windows比较多，大流量的linux比较多。

 

　　不管是windows还是linux或者说其他的系统，任安全防护第一步，关掉不用的端口，第二步限制重要端口的访问来源ip地址，比如我们跑web的，可以全开80端口，限制ftp、远程管理端口的来源ip地址，其它端口全部关闭

 

　　像ssh的22，远程终端的3389，mysql的3306这类重要端口我们可以通过软件防火墙或者硬件防火墙，限制来源的ip地址，有些tx 可能会说我是adsl动态的，我没有办法固定ip地址，好这里给你2个方案。1.放开限制的范围，每个地区的adsl拨号上网ip地址总有一定的范围，比如a.b.x.x，那么我们就把ip限制到a.b.*.*。2.中转方法，有些站长可能不止1台服务器，可以通过另外一台中转的有固定ip地址的机器，来中转管理你的服务器。使用端口转发这种方法，限制了端口的访问，那么如果还要将安全级别提高一点的话，那就是修改端口号来增加安全性，这里也提个醒，实际上除非你有防止端口扫描的这种防火墙，不然改端口作用并不大，hack扫描下端口很方便，说到防止端口扫描，这个原来实际上就是跟踪用户在一定时间内访问服务器端口数量来实现的，比如在5秒内访问超过3个端口，就判断为端口扫描行为，然后就把用户的ip封掉。这里推荐个windows下面的软件防火墙

 

　　这类防火墙 windows主机我推荐VisNeticFirewall (也叫8sign)，VisNeticFirewall 是款强大的windows下软件防火墙可以限制进出规则包括http应许访问的文件类型，比如限制mdb下载等等也可以做端口扫描自动阻断。

 

　　linux用自带的iptables，功能很强大，只有想不到，没有做不到，网络这一层安全做得好，你的系统就加固了很多。就算hack有你服务器的管理员，他也无从入手。除了80 webshell ，他什么也做不了。下面讲讲webserver的安全配置

 

　　windows主机用iis的站长还可以给每一个iis站点单独设定一个运行帐号而且严格设置站点目录只有管理员和这个站点运行账户有权限这样即使某个站点有漏洞，hack webshell进来了，危机到其他站点 和系统因为他除了能控制这个站点的目录下面的内容外，他根本无法访问其他目录。当然这个方法还有个前提，就是得把系统的目录权限梳理一边，检查下有 everyone权限的目录，一般c盘 windows目录下面这类的目录蛮多，要记住everyone的目录 就算做了上面的独立iis账户的方法 hack还是能访问的，关于这类网上文章也蛮多，搜一下仔细看看。linux的可就没这么方便咯，因为apache nginx是以统一的用户身份来运行的没法每个站点独立设置一个运行用户。比较要命的是linux下面系统的目录一般其它用户都是可读的。所以比较安全的做法是把apache或者nginx php的用户 和web目录的所有者用户独立开来。所以比较安全的做法是把apache或者nginx php的用户 和web目录的所有者用户独立开来。

 

　　这里把nginx和目录所有权用户都用www是方便一些静态文件的访问，省得权限卡得很死，非得完全严格的去设置目录权限。当然要求严格的站长完全可以把nginx和web目录的用户也分开。apache和php结合有个非常方面的好处，就是可以给每个vhost设定一些php的设置。所以我们用apache的tx可以用这一特性 给每个vhost 设定下open_basedir 这个php设置open_basedir就是这个vhost的php运行的时候能够访问的目录，这样也就能在apache下面实现iis那样独立帐号运行的类似效果

 

　　把php的访问范围框住，防止1个有漏洞危及系统和其他站点

 

　　这里举个例子，就贴部分了

 

　　

 

　　DocumentRoot /website/www/bbs.site.com

 

　　ServerName bbs.site.com

 

　　php_admin_value open_basedir /website/www/bbs.site.com/:/website/tmp/

 

　　php_admin_value open_basedir /website/www/bbs.site.com/:/website/tmp/

 

　　这个意思就是bbs.site.com下面运行的php

 

　　只能访问 /website/www/bbs.site.com/ 和 /website/tmp/下面的文件，想访问其他目录的文件，没门

 

　　这个设置 如果有多个目录，比如php上传临时目录，session临时目录，可以用 : 冒号分割(windows下面用 ; 号)

 

　　这个方法在windows 和 linux的apache上都能用

 

　　但是必须要以LoadModule 方式跑php的才行

 

　　这个方法像nginx那样 用fastcgi php方式的就没法

 

　　如果实在想用可以用nginx proxy的方式，php用apache来跑这样就能在 nginx下面也用上这个open_basedir功能了。

 

　　如果实在要用nginx+fastcgi php的方式的话 可以在php.ini里面设置个总的open_basedir