Categories


Tags


使用Chroot解决PHP的运行安全问题

近些日子,小蒋的一篇博文引起了广大主机商的关注。其原因是小蒋运营的创智主机被提交了漏洞到乌云网上在这篇文章中小蒋给出了解决方法,就是采用禁用函数的方法来保证服务器环境的安全。

但是,禁用函数真的是最好的选择么?不是的!

AMH面板的开发者Amysql告诉我们,更好的选择是Chroot!

AMH面板是一款LNMP面板,一方面,为了方便版本升级,另一方面,面板是开发者一个人开发的,所以AMH没有像kangle,WDCP,LUM,webmin等采用二进制文件实现平台的环境,而是使用基于AMP的PHP程序来控制平台。这样,就要考虑到PHP的安全问题了。由于PHP写成的程序,所以需要大量的的使用exec,shell_exec两个函数来实现面板和系统的信息交换处理。显然,小蒋给出的限制函数的方法并不适合AMH这样的面板。那么,Amysql如何解决PHP的运行安全问题呢?

Amysql采用了这样的方法。对于AMH下的虚拟主机,一律开启Chroot来保证安全,而控制台PHP则关闭chroot来保证面板的正常运作。

说了这么多,那么什么是Chroot呢?

据维基百科的词条解释,Chroot本是Unix下的一个命令,但是,在PHP-FPM中,也是引入了这一功能。

维基词条:chroot是在unix系统的一个操作,用于对当前的程序和它的子进程改变真实的磁盘根目录。

Chroot的工作原理是什么呢?

由于LNMP环境下,PHP-FPM与Nginx的通信只能通过CGI实现,所以,如果你在FPM设置中对文件的根目录进行修改,那么,你的PHP程序就无法跨越这个指定的根目录。而面板所在的虚拟主机,由于没有开启Chroot,所以使用的根目录依然是系统的根目录 /

具体解释一下?

就拿我用的AMH面板的控制台和普通虚拟主机来说明。控制台文件放在/home/Wwwroot/Index/Web文件夹下,普通主机的文件放在/home/wwwroot/Domain/web文件夹下。对于控制台程序,由于没有开启Chroot,所以,这个PHP文件的实际位置和运行位置相同,都是/home/wwwroot/Index/web/,而其根目录就是/;对于普通虚拟主机,开启Chroot,那么,虽然,运行的文件的位置是/home/wwwroot/domain/web/index.php,但是经过Chroot的导向,在PHP程序中,实际认为的文件地址是/web/index.php。同时在/home/wwwroot/domain/为了使入侵者认为自己进入的是根系统,而仿照Unix的文件夹命名规则,创建了etc,usr,tmp,lib等文件夹,如同为PHP程序创建了一个沙盒.所以,使用Chroot的用户不用害怕中国菜刀,因为他只能在沙盘内起作用,无法对主系统产生影响,从而造成经济损失。

沙盒(英语:sandbox),有时也称为沙箱,是为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验的环境。然而,沙盒中的所有改动对操作系统不会造成任何损失。通常,这种技术被计算机技术人员广泛使用,尤其是计算机杀毒软件行业,沙盒是一个观察计算机病毒的重要环境。

我们都知道,在类Unix系统中,所有程序,甚至设备,都是由文件表示,我们所使用的ls,wget命令,事实上都对应着一个特定的可执行文件,而当我们使用Chroot后,由于/home/wwwwroot/domain/usr下没有相应的文件,也就无法执行相应的命令。从而保证系统信息的安全。

与禁用函数相比,Chroot有什么优点呢?

禁用函数是针对整个PHP程序而言的,所有需要通过PHP程序进行解析的文件,都会受到禁用函数的设置。网站程序不同,那么有可能需要的函数不同,不同的虚拟主机无法单独设置。而Chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序,可以关闭Chroot,来保证网站程序的正常运转;程序不需要调用特殊的程序,就可以开启Chroot模式;如果只是要启用一个或两个特定的程序,你可以仿照如下的过程添加函数。比如说,当我们开启Chroot时,PHP程序是无法使用sendmail()函数来发信的,我们可以使用mini_sendmail替代sendmail来修复发信。

cd /home/wwwroot/www.ixiqin.com/

cp -P /bin/bash /bin/sh bin

cp /etc/passwd /etc/group etc

cd /tmp

wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz

tar xzf mini_sendmail-1.3.6.tar.gz

cd mini_sendmail-1.3.6

make

cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

以上代码,在/tmp目录下编译mini_sendmail,然后将生成的可执行文件复制到chroot后目录下相应位置,以保证发件系统的正常运行。

非AMH用户如何使用Chroot功能

如果你是AMH的用户,那你就省心了,因为Amysql将这个功能集成到了模块里,而且默认情况下每一个虚拟主机都是开启了安全模式的,你只需要在后台下载AMChroot模块,管理即可。如果你不是AMH用户,也可以使用这个功能,只需要修改Nginx和PHP-FPM的配置文件即可。由于要把domain站点限制在/home/wwwroot/domain,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改Nginx传递给php-fpm的网站根目录地址。

找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;,更改为fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;同时,将php-fpm.conf文件中的Chroot改为chroot = /home/wwwroot/domain

有什么需要注意的呢?

Tips One:Chroot模式下,各种探针,如雅黑探针将会失效,报错。

Tips Two:Chroot模式可用做在线shell模拟器,安全真实。

综合以上分析,我建议,与其使用死板的禁用函数,我们为什么不试试更加好用的Chroot。

来源:投稿,文章作者:西秦公子,原文链接。

来源:月光博客


Public @ 2016-05-02 15:46:38

精通PHP的十大要点

以下是精通PHP的十大要点: 1. 熟悉PHP基础语法:需要掌握PHP的基本语法、变量、数据类型、运算符、流程控制等基础知识。 2. 掌握面向对象编程 (OOP):PHP是一门面向对象编程的语言,熟悉OOP思想能够更好的开发复杂的应用程序。 3. 熟悉PHP常用函数库:PHP提供了丰富的函数库,可以快速实现常用功能,如字符串处理、数组函数、文件操作等。 4. 熟悉PHP框架:框架可以提高开

Public @ 2023-03-28 00:50:36

如何压缩和修复access数据库?

如何压缩和修复网站的access数据库?下载数据库文件-如果是.asp的扩展名,请改为.mdb的扩展名-用ACCESS打开:选择工具——数据库实用工具——压缩和修复数据库——[对应网站上的名称改为对应的.asp或.asa后缀]——上传覆盖原来数据库文件。修复mysql数据库详见:http://www.west.cn/faq/list.asp?unid=39来源:西部数码

Public @ 2012-02-25 15:46:39

使用Chroot解决PHP的运行安全问题

Chroot是一个强大的安全机制,它可以将进程限制在一个独立的文件系统中运行,以减少对系统的访问和保护系统安全。在PHP中,Chroot被广泛用于增强Web服务器的安全性,限制PHP脚本的操作范围,防止脚本以非预期的方式访问服务器的文件,并且防止恶意代码的攻击。 在使用Chroot时,可以创建一个独立的文件系统副本,并且将所需的文件和目录复制到该文件系统中。然后,使用Chroot机制将PHP运行

Public @ 2023-06-01 20:50:46

php访问报错HTTP/1.1 200 OK Connection: close Data

由于这个问题描述过于简单和模糊,我无法对它做出明确的回答。但是,我建议您检查以下几个可能的原因: 1. 检查服务器是否正常运行,并确保通过正确的端口和URL访问。 2. 确保您的PHP代码正确配置了服务器设置,并且没有任何语法错误或逻辑错误。您可以使用PHP解释器来测试您的代码的正确性。 3. 检查您的Web服务器配置是否正确,特别是与PHP环境相关的设置。 4. 确保您的代码没有与其他应

Public @ 2023-06-17 11:50:14

更多您感兴趣的搜索