最新消息:
    你的位置:jinglingshu的博客 > php安全 > PHP 配置open_basedir,让各虚拟站点独立运行

    PHP 配置open_basedir,让各虚拟站点独立运行

    php安全 admin 2728浏览 0评论
    好几年前,我在抱怨Apache运行PHP的安全性不行,只要一个 站点被人拿下,服务器上的其他站点就会跟着遭殃。当时觉得这跟IIS相比,实在太差了,因为在IIS里,可以在安全性里设置一个站点甚至一个目录访问时使 用的匿名账号,只要各个站点使用的账号不一样,站点间的安全就不会互相影响。这几天才发现,原来当时的想法是错的,在Apache下,也可以配置PHP来 实现各站点间的相互独立运行,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。
    通过配置PHP的open_basedir即可以实现该控制,这个配置在IIS下也有用,但这里只讲Apache下的配置。
    open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也
    可用符号”.”来代表当前目录。open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用
    冒号分隔目录。当其作用于Apache模块时,父目录中的open_basedir路径自动被继承。以下以Linux系统下的配置为例
    方法一:在php.ini里配置
    open_basedir = .:/tmp/
    方法二:在Apache配置的VirtualHost里设置
    php_admin_value open_basedir .:/tmp/
    方法三:在Apache配置的Direcotry里设置
    php_admin_value open_basedir .:/tmp/
    关于三个配置方法的解释:
    a、方法二的优先级高于方法一,也就是说方法二会覆盖方法一;方法三的优先级高于方法二,也就是说方法三会覆盖方法二;
    b、配置目录里加了“/tmp/”是因为php默认的临时文件(如上传的文件、session等)会放在该目录,所以一般需要添加该目录,否则部分功能将无法使用;
    c、配置目录里加了“.”是指运行php文件的当前目录,这样做可以避免每个站点一个一个设置;
    d、如果站点还使用了站点目录外的文件,需要单独在对应VirtualHost设置该目录;

    open_basedir: 将用户可操作的文件限制在某目录下;

    open_basedir 可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号”.”来代表当前目录。注意用open_basedir指定的限制实际上 是前缀,而不是目录名。举例来说: 若”open_basedir = /dir/user”, 那么目录 “/dir/user” 和 “/dir/user1″都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:“open_basedir = /dir/user/”

    open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。当其作用于Apache模块时,父目录中的open_basedir路径自动被继承。

    有三种方法可以在Apache中为指定的用户做独立的设置:

    (a) 在Apache的httpd.conf中Directory的相应设置方法:

    php_admin_value open_basedir /usr/local/apache/htdocs/
    #设置多个目录可以参考如下:
    php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/

    (b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
    php_admin_value open_basedir /usr/local/apache/htdocs/
    #设置多个目录可以参考如下:
    php_admin_value open_basedir /var/www/html/:/var/tmp/

    (c) 因为VirtualHost中设置了open_basedir之后, 这个虚拟用户就不会再自动继承php.ini中的open_basedir设置值了,这就难以达到灵活的配置措施, 所以建议您不要在VirtualHost中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/, 这个设置表示允许访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录.

    请注意: 若在php.ini所设置的上传文件临时目录为/tmp/, 那么设置open_basedir时就必须包含/tmp/,否则会导致上传失败. 新版php则会提示”open_basedir restriction in effect”
    警告信息, 但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道这是漏洞还是新功能.

    php open_basedir安全与性能的取舍

    网站安全与性能似乎是矛与盾的关系。对于一个php网站来说,尤其难以取舍。举个最简单的例子:php配置文件open_basedir将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本来这对于网站的安全是十分有利的;但据笔者从网上获取的资料来看,open_basedir会对 php操作io的性能产生很大的影响。研究资料表明,配置了php_basedir的脚本io执行速度会比没有配置的慢10倍甚至更多!

    起初,我也不太相信这个结果,不过测试数据却说服我承认这个观点。

    创建一个简单的脚本:

    <?php
function microtime_float()
{
    list($usec, $sec) = explode(" ", microtime());
    return ((float)$usec + (float)$sec);
}

$time_start = microtime_float();

is_file('1.html');  //判断当前目录是否有1.html这个文件
$time_end = microtime_float();
$time = $time_end - $time_start;

echo "Did is_file in $time seconds\n";
?>

    对于open_basedir的测试结果
    0.0006 / 5.0E-5
    差距是相当大的,不过聪明的朋友应该注意到,笔者的网站配置了open_basedir,相对与这样的性能损失来说,我宁愿选择牺牲性能,换取安全,您的选择呢?不用猜,您可能和我的选择一致啦~毕竟服务器安全更重要些。

    小提示:如何配置open_basedir
    当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。

    特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险,因为脚本的工作目录可以轻易被 chdir() 而改变。

    在 httpd.conf 文件中中,open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭(例如某些虚拟主机中)。

    在 Windows 中,用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时,父目录中的 open_basedir 路径自动被继承。

    用 open_basedir 指定的限制实际上是前缀,不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”,如果它们存在的话。如果要将访问限制在仅为指定的目录,用斜 线结束路径名。例如:“open_basedir = /dir/incl/”。

     

    ps:在php.ini中设置open_basedir,拿到shell后,如果知道旁站的路径,还是能够绕过的。如果在httpd.conf中配置就不会出现这种情况。

    转载请注明:jinglingshu的博客 » PHP 配置open_basedir,让各虚拟站点独立运行

    与本文相关的文章

    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址