很多站长朋友们都不太清楚phpcgi安全配置,今天小编就来给大家整理phpcgi安全配置,希望对各位有所帮助,具体内容如下:
本文目录一览: 1、 apache2.4怎么配置PHP5.2.17非安全线程+CGI+ZendOptimizer3.3.3 2、 web服务器安全设置 3、 一键安装php后,不能打开某些php网页文件,提示什么数据库错误哦等等一些问题。安装完后怎样具体配置php 4、 Win2008 IIS7,无缘无故的FastCGI(php-cgi)占用过高如下图,参数调整如下图: apache2.4怎么配置PHP5.2.17非安全线程+CGI+ZendOptimizer3.3.3Apache is running a threaded MPM, but your PHP Module is not compiled to be threadsafe. You need to recompile PHP 你的apache运行用了线程模式的MPM,但PHP 模块编译的时候不支持线程模式,你需要重新编译你PHP, 不知道你在什么系统下搭建的AMP,要是LAMP我能帮你
web服务器安全设置Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制, 带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法
用户从脚本提升权限:
web服务器安全设置二、ASP的安全设置
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
web服务器安全设置三、PHP的安全设置
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
web服务器安全设置四、MySQL安全设置
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
web服务器安全设置五、数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
一键安装php后,不能打开某些php网页文件,提示什么数据库错误哦等等一些问题。安装完后怎样具体配置phpPHP是一种广泛使用的动态脚本语言,不过在IIS中并没有内置对PHP语言的支持,因此如果需要使用PHP,必须自行安装。PHP可以安装为CGI模式或者 ISAPI模式,由于ISAPI模式具有更高的性能,因此我建议大家使用ISAPI模式。PHP具有PHP4、PHP5两种版本,不同的版本安装时有些区别,在此我分别进行介绍。 在PHP官方网站()上提供了PHP解析器的两种安装包的下载,分别是完整文件的压缩包和不包含扩展库文件的Installer安装包。Installer安装包只能安装PHP为CGI模式,如果你只需要让PHP工作在CGI模式,可以下载Installer安装包并执行,它可以自动安装并配置PHP。 安装PHP4 PHP4的安装比较简单,在此我仅介绍ISAPI模式的安装。本文写作时PHP4的最新版本是4.4.2,下载完整安装包后,将它解压到C盘根目录下,将其目录改名为PHP(个人习惯 :) ),如下图所示: PHP执行时需要php4ts.dll文件,此文件位于“C:\PHP”目录中。你可以将“C:\PHP”添加到path系统环境变量中,也可以将php4ts.dll文件复制到其他path中已经定义的目录,例如“C:\windows”、“C:\windows\system32”目录中;在此我将其复制到“C:\windows”目录中; 现在我们需要在“C:\windows”目录下创建PHP配置文件,在PHP目录下自带了两个PHP配置文件样本,分别名为php.ini-dist和php.ini-recommended。其中php.ini-recommended在性能和安全性上有更大的提高,推荐使用;但是如果使用php.ini-recommended出现问题,则可以使用php.ini-dist,它具有最简单的配置,但是也具有最好的兼容性。 将php.ini-recommended文件复制到“C:\windows”下,然后改名为“php.ini”; 此时,基础配置完成,我们需要在IIS中进行进一步的设置。 在IIS管理控制台中,右击Web服务扩展,然后选择添加一个新的Web服务扩展, 在弹出的新建Web服务扩展对话框,输入扩展名为php,然后添加按钮,选择“c:\php\sapi\php4isapi.dll”,然后勾选设置扩展状态为允许,再点击确定; 此时,Web服务扩展添加完成,如下图所示:
Q0 |8 m }* F# d3 N$ @! k; K现在,我们还需要在Web站点属性中添加应用程序映射,右击需要启用PHP支持的Web站点,选择属性;如果要对所有Web站点启用PHP支持,则右击网站,然后选择属性,在网站全局所做的配置可以应用到所有已有的站点并且将应用到所有新建的Web站点; 在弹出的Web站点属性对话框上,点击主目录标签,然后点击配置按钮;需要注意的是,如果Web站点的执行权限为无,那么你需要修改为纯脚本; 然后在弹出的应用程序配置对话框上点击添加按钮; 在弹出的添加/编辑应用程序扩展名映射对话框上,点击浏览选择可执行文件为“c:\php\sapi\php4isapi.dll”,然后输入扩展名为php,点击确定即可;
! I) G/ g0 s) y% I依次点击确定回到IIS管理控制台,然后我们可以在对应站点的主目录创建一个php脚本文件来测试PHP支持是否启用,例如我在Web站点根目录创建一个名为phpinfo.php的文件,包含以下内容: <? phpinfo() ?> 然后在浏览器中访问,如下图所示,ISAPI模式的PHP4安装成功。 如果你需要在PHP4启用PHP扩展,例如GD2,则需要执行以下三步: 1、修改PHP.ini文件(默认为C:\windows目录中)中的extension_dir变量,将其指向PHP4的扩展文件目录,默认为“c:/php/extensions”; 1、 2、修改PHP.ini中后面的扩展变量,去掉对应扩展库前注释用的分号从而启用此扩展;如下图,我启用GD2; 3、最后,也是最关键的一步,你需要将PHP扩展所依赖的DLL文件的路径(“c:\php\dlls”)添加到path变量中,或者将这些DLL文件复制到 path变量已定义的路径中,例如“C:\windows”、“C:\windows\system32”目录中,然后重启IIS服务以让它读取修改后的配置文件。 从phpinfo上获取的信息可以看出PHP扩展添加成功。下图是配置的PHP扩展目录, 从下图可以看出GD2扩展配置成功。
8 N7 a( R6 s; ?; }
安装PHP5 安装PHP5比安装PHP4更为复杂,虽然可以采用和安装PHP4同样的方式来安装ISAPI模式的PHP5,但是我建议你同时下载Installer安装包和完整安装包,先运行Installer安装包安装CGI模式的PHP,然后在CGI模式的基础上配置PHP5为ISAPI模式。这样更为方便,更重要的是可以避免一些问题。本文写作时PHP5的最新版本是5.1.2,下载Installer安装包和完整安装包后,首先将完整安装包解压到 “c:\php5”目录下,如下图所示: 和PHP4不同,PHP5中的PHP扩展所依赖的DLL文件并没有单独存放在一个子目录中,而是放置在php5目录中,因此我们最好为php5目录添加一个path变量。 右击我的电脑,选择属性,然后在弹出的系统属性对话框上点击高级标签,然后点击环境变量按钮;
在弹出的环境变量对话框上,在下部的系统变量列表框中找到path变量并双击,然后在弹出的编辑系统变量对话框的变量值中添加“c:\php5”目录,依次点击确定返回。 现在运行Installer安装包,在弹出的欢迎页和授权协议页点击下一步; 在安装类型页,根据你的喜好进行选择,建议选择高级,这样可以自定义更多的选项,选择后点击下一步; 在目标目录页,选择我们将完整安装包解压的目录“c:\php5”,然后点击下一步; 在备份替换的文件页,选择不,点击下一步; 在选择上传临时目录页,选择用于缓存上传文件的临时目录,你可以设置为任意目录,但是客户访问Web站点时所使用的用户账户(通常是IUSR_服务器名)必须具有此目录的读写权限;在此我接受默认设置,点击下一步,PHP安装程序会自动创建此目录; 在选择会话保存目录页,选择用于保存用户会话数据的临时目录,你可以设置为任意目录,但是客户访问Web站点时所使用的用户账户(通常是IUSR_服务器名)必须具有此目录的读写权限;在此我接受默认设置,点击下一步,PHP安装程序会自动创建此目录; 在邮件配置页,如果你具有对应的邮件服务器则输入相应选项,否则直接点击下一步;
在错误报告级别页,接受默认的显示所有错误、警告和提示,点击下一步;在PHP完全安装成功时,我们应配置PHP不显示任何错误信息,从而增强Web站点的安全性; 在选择服务器类型页,根据你的服务器类型进行选择,在此我选择Microsoft IIS 6 or higher,点击下一步; 在文件扩展名页,接受默认的只选择.php,点击下一步; 在开始安装页点击下一步;此时,PHP开始进行安装,最后在安装完成的对话框上点击确定;
! Q! z! T3 e/ [" s* s5 W现在我们需要添加客户访问Web站点时所使用的用户账户(通常是IUSR_服务器名)对于上传临时目录和会话保存目录的读写权限,在“c:\php5”目录下选择sessiondata和uploadtemp这两个目录后右击,选择属性, 然后在安全标签上添加相应用户账户的读写权限,例如在此我添加了IUSR_MUNICH的读写权限。 Installer安装包只是在Web站点中添加了应用程序映射,并没有在IIS中添加Web服务扩展,你必须为CGI模式执行文件php-cgi.exe添加一个Web服务扩展后才能使用PHP,如下图所示:
发表于 2008-9-17 10:26 | 只看该作者
此时,运行phpinfo来查看,如下图所示,CGI模式的PHP5已经安装好了。 现在我们来修改PHP5为ISAPI模式,首先修改应用程序映射,在IIS管理控制台中右击网站,然后选择属性,在弹出的Web站点属性对话框上,点击主目录标签,然后点击配置按钮,在弹出的应用程序配置对话框中,你可以看到php扩展名是映射到“c:\php5\php-cgi.exe”, 双击此项,修改其映射到“c:\php5\php5isapi.dll”,然后依次点击确定返回到IIS管理控制台。 然后在Web服务扩展中进行同样的修改,如下图所示,然后点击确定; 在phpinfo中刷新,此时PHP5已经运行在ISAPI模式下了。 当PHP5安装好后,我们需要修改PHP.ini提高配置的安全性,在PHP.ini中修改以下变量:
* safe_mode = on : 启用PHP的安全模式,可以获得更高的安全性;
; O2 A) W( C% b) N
* cgi.force.redirect = 1 : cgi.force.redirect为CGI方式的运行提供了更高的安全性,默认PHP是启用的,但是在通过Installer安装包 安装PHP时会设置为禁用(cgi.force.redirect = 0),你可以简单的删除此行(cgi.force.redirect = 0)即可; - k) ~* h) U: X2 `: e5 b% n
* display_errors = off :不显示任何PHP的错误,这样可以提高Web站点的安全性,但是不利于Web站点出现问题时的调试;
3 W8 {' q [! \
如果你需要在PHP5启用PHP扩展,例如不再作为默认扩展的mysql或者GD2,操作方式和PHP4是一样的, 1、修改PHP.ini文件(默认为C:\windows目录中)中的extension_dir变量,将其指向PHP5中的扩展文件目录,在此为“c:/php5/ext”;
发表于 2008-9-17 10:27 | 只看该作者
2、修改PHP.ini中后面的扩展变量,去掉对应扩展库前注释用的分号从而启用此扩展;如下图,我启用Mysql和GD2; 3、由于在前面我已经将PHP扩展所依赖的DLL文件的路径(“c:\php5”)添加到了path变量中,所以在此无需进行其他操作。否则你需要将这些 DLL文件复制到path变量已定义的路径中,例如“C:\windows”、“C:\windows\system32”目录中。最后重启IIS服务以让它读取修改后的配置文件。 从phpinfo上获取的信息可以看出PHP扩展添加成功,下面的图分别是配置的PHP扩展目录、GD2和mysql扩展。
六、Look’n’stop的一些高级功能9 Q! D7 W) j9 }7 C- d
目前Look’n’stop2.05p2版部分功能默认没有打开,官方已有Look’n’stop2.05p3版下载,在P3版安装完成后在它的安装目录下会有一些与高级应用有关的文件,大家可以通过看该目录下的说明文件了解其用途。建议大家打开下述高级功能,此时系统才是最安全的。。 n% S: g. w E# Y# a
1.把Look’n’stop作为服务启动2 u; ~4 L* G- O z
Look’n’stop2.05P2版的虚拟硬件驱动程序就是系统驱动级的,操作系统启动时该驱动程序会启动(仅次于操作系统内核),所以 Look’n’stop可以提前于病毒和木马启动,并及时监控,这点对于防火墙来说是非常有用的,但该驱动只用于发现连接企图,而不采取任何行为。
4 I% ?0 ~; P" t, F Look’n’stop2.05p3版中提供了把它的主程序(不是虚拟硬件驱动)作为服务启动的功能,在这种情况就可以及时给用户提示,由用户做决定了。" m- @, B5 P9 d m# |$ i0 }6 o }
2.打开Look’n’stop的一些高级功能
+ O U3 M( q; t ~5 U7 R P3版提供了一个注册文件,导入这个注册文件就打开了它的一些高级功能,如隐藏进程调用隐藏进程、线程侵加、DLL检测等功能,这些功能全部是防止机器中的恶意程序企图连接外部的,Look’n’stop能有效进行阻止。此后,当重新启动操作系统后,随便运行一、二个需要上网的程序后,打开“选项”标签,点“控制台”,点“驱动日志”,就会发现如图16所示一些信息。
0 [9 Z+ m3 R3 S* C# B" V m# B j9 b H$ O S3 t
当你看到F02_ok等这五条内容(并不一定同时出现,顺序也可能不同)时,说明Look’n’stop的高级功能全部正常启用了。8 {. p U3 }3 V3 v6 N0 O( d; z0 R. b
驱动日志显示的信息及其对应的设置项或者隐藏参数键值解释如下:
* t! f7 ]/ h: s P+ l2 y- vFO2_Ok 监视线程侵加-----打开“高级设置”--“监视线程侵加”5 V) g/ C) d7 e! ?- Y
: a6 \: l/ T1 W. ]
FO2_2_Ok 监视线程侵加的增强(如Copycat这种类型行为的木马)-----"CheckVAEUDTF"=dword:00000001
0 |2 m8 m0 L0 Q. l1 m! ?' H# j! k6 ?( |' L5 v
FO3_Ok 监视利用DNS解析行为的木马。因为DNS请求是由OS内核完成的,故多数防火墙对内核是放行的(如DNStester这种类型)-----"CheckDNSQ"=dword:00000001: k5 U, T3 h- N$ w+ _8 W% a6 Y
w9 r+ Y* |- _' Y: A0 ^FO4_Ok 防止用DLL插入到其它进程,并不是直接去调用某个程序的方式(如Pcaudit等)同时打开DLL检测-----"CheckHSRE"=dword:00000001和"ActivatedSoon"=dword:00000001' g# e4 ^% ~ T
' X) g- s" U/ e- y( s9 \, |
FO5_Ok 防止并不生成线程的直接代码插入,亦即内存数据修改(如Copycat、Thermite等)-----"CheckVAEUDTF"= dword:00000001% f, U0 _0 q$ r5 Q' F! ^) |3 H
3. 打开高级功能后打印机共享问题的解决
, H/ Y6 \ \4 C3 x 让Look’n’stop作为系统服务启动后,以简单共享方式建立的共享打印机是不能被其它用户使用的。原因是Look’n’stop阻止了UPnP协议的1900端口的通讯造成的,没办法,因为Look’n’stop监制非常严。
/ G0 }8 g! E6 X# x1 I/ u5 P 解决办法是在“互联网过滤”规则中加一个规则“以太网类型:IP;协议:UDP;目标区IP地址:239.255.255.250;目标区TCP/UDP端口等于:1900;并允许”就可以了。
Win2008 IIS7,无缘无故的FastCGI(php-cgi)占用过高如下图,参数调整如下图:方法/步骤
1、首先安装IIS 7,下载PHP Manager(请百度搜索下载,坑爹的不允许发链接),请根据自己的系统选择32位或者64位下载。安装步骤就不截图了,一路按next就好了。安装完后在IIS管理器里面就能看到PHP Manager了。
2、下载php5.3以上版本。在选择版本时有
3、Thread Safe和Non Thread Safe之分。Non Thread Safe就是非线程安全,Thread Safe 是线程安全。在windows+IIS平台选择Non Thread Safe版本的PHP,并选择V9以上的版本。本文以64位V11 Non Thread Safe 5.5.14版本为例:
4、解压PHP 5.5压缩包到某个文件夹中(本文以D:\PHPweb\PHP),打开IIS管理器,双击“PHP Manager”:
5、点击“Register New PHP Version”,在弹出框里面选择PHP目录下的php-cgi.exe文件,点击确认后就能看到PHP的相关信息:
6、重启IIS,PHP运行环境就配置成功了。出现“FastCGI进程意外退出”如何解决?在DOS下输入命令“D:\PHPweb\PHP\php.exe -v”,根据提示做相应的修改即可。小编在运行命令后提示“缺失msvcp110.dll”,在36X卫士中“人工服务”直接修复了。
关于phpcgi安全配置的介绍到此就结束了,不知道本篇文章是否对您有帮助呢?如果你还想了解更多此类信息,记得收藏关注本站,我们会不定期更新哦。
查看更多关于phpcgi安全配置 php cgi配置的详细内容...