Hôm thuyết trình ở cty Tường lửa, mình có nói về 1 cách Disable các Functions & Enable Safe mode trên Application(Php) bằng file php.ini để giảm thiểu việc tấn công local. Tuy nhiên mình vẫn nghĩ nó là chưa đầy đủ. Bởi việc security này thực chất không áp dụng được cho toàn bộ các Host trên cùng 1 Server. Nó chỉ có thể áp dụng đối với những host biết sử dụng nó. Vậy vấn đề ở đây đặt ra là làm thế nào để mình làm 2 điều này trên Server để nó có thể tương tác đến các site đang host trên nó. Mình xin được trình bày tiếp ở đây
-----
Ở đây mình SSH vào WebServer của mình chạy (Apache – MySQL – PHP) bằng quyền ROOT
Việc cấu hình lại các file này được thực hiện ở file php.ini
Sử dụng câu lệnh # php -i |grep php.ini để tìm nơi cất giấu file php.ini và được địa chỉ sau /usr/local/lib/php.ini
Tiếp tục mình sử dụng trình Vi (bạn hiểu nó như 1 trình soạn thảo văn bản ở linux) để edit lại file php.ini
Vi /usr/local/lib/php.ini
Nếu bạn là người sử dụng thuần thục lệnh vi này sẽ hiểu rằng nó có 2 chế độ
- Ở chế độ câu lệnh, những gì bạn gõ vào sẽ được hiểu như là câu lệnh ra lệnh cho vi. Lệnh sẽ bảo vi lưu tập tin, thoát khỏi vi, chuyển con trỏ đến các vị trí khác nhau trong tập tin, chỉnh sửa, sắp xếp, xóa bỏ, thay thế và tìm kiếm đoạn văn bản.
– Ở chế độ nhập liệu hoặc còn gọi là nhập văn bản (chế độ INSERT), những gì bạn gõ vào được máy hiểu là nội dung của tập tin mà bạn đang chỉnh sửa. Theo chế độ này, vi hành động như là chiếc máy đánh chữ đơn thuần.
Ở đây mình muốn tìm đến chỗ có từ Safe Mode để On nó lên nên gõ /Safe Mode
Để gõ được những lệnh này bạn nên chuyển Vi sang chế độ câu lệnh bằng nút Esc sau đó bấm tổ hợp phím shift :
Mình tìm được đến chỗ Safe Mode và giá trị mặc định ở đây là OFF . Muốn edit nó thành ON bấm chữ i để chuyển sang chế độ nhập liệu và sửa như bình thường
Tiếp tục sử dụng lệnh /disable_functions để khóa 1 số hàm phục vụ cho việc Local Attack
Làm tương tự như đối với việc chỉnh sửa Safe Mode. Mình disable 1 số functions system, exec, shell_exec, passthru
Khi đã hoàn tất việc edit file bạn nhận Esc để chở về chế độ câu lệnh.Bấm shift : và gõ wq .Để thoát ra và lưu lại file Php.ini đã chỉnh sửa
Công việc đến đây là hoàn tất cho việc áp dụng Safe Mode On & Disable Functions cho các Hosting nằm chung trên 1 Webserver
P/s : Tham khảo thêm lệnh Vi ở đây
Vẫn muốn gửi 1xxx lời cám ơn đến 2 người tôi yêu thương đã có mặt để động viên cổ vũ tôi hoàn thành tốt bài thuyết trình.
Cám ơn riêng cô nhà vì tất cả.Anh cám ơn.Tũn cám ơn.Toàn cám ơn…
Vâng xin cảm ơn . hihihi
Theo mình thì disable bao nhiêu functions hay chỉ 3 cái trên kia tuỳ thuộc vào nhu cầu của khách hàng. Nếu để triệt để thì các functions trên vẫn chưa triệt để, nhưng disable như vậy có thể ảnh hưởng đến site của họ (theo như phía trên có nói thì có lẽ Mr Tũn – thời gian đó- đang làm ở 1 cty hosting).
Mình góp ý thêm 1 số tweaks để mọi người có thể tham khảo:
allow_url_fopen = Off ; Disable URLs for file handling functions
register_globals = Off ; Make sure this hellish fiend is dead
safe_mode = Off ; Disable this, the next is often more practical
safe_mode_gid = On ; Enable safe mode with group check
safe_mode_allowed_env_vars = PHP_ ; Restrict access to environment variables
max_execution_time = 30 ; Max script execution time
max_input_time = 60 ; Max time spent parsing inputs
memory_limit = 16M ; Max memory size used by one script
upload_max_filesize = 2M ; Max upload file size
post_max_size = 8M ; Max post size
display_errors = Off ; Do not show errors on screen
log_errors = On ; Log errors to log file
expose_php = Off ; Hide presence of PHP