1、通过修改php.ini文件中的disable_functions指令禁用system,exec,passthru,shell_exec等危险函数,并重启Web服务;2、在Apache环境下使用.htaccess文件设置php_admin_value disable_functions实现目录级控制;3、在PHP-FPM中为不同应用配置独立池,通过php_admin_value[disable_functions]实现函数禁用隔离,提升多应用环境安全性。
如果您在配置服务器时发现PHP的某些函数可能被恶意利用执行系统命令,则需要立即禁用这些危险函数以防止安全漏洞。以下是针对此类问题的安全配置步骤。
本文运行环境:Dell PowerEdge R750,Ubuntu 22.04
一、通过php.ini禁用危险函数
修改PHP主配置文件php.ini是最直接且有效的方法,可以全局性地禁用指定的危险函数,确保所有使用该PHP环境的应用都受到保护。
1、使用SSH登录服务器,找到php.ini文件所在路径,通常位于/etc/php/8.1/apache2/php.ini或/etc/php/8.1/fpm/php.ini,具体路径可通过php --ini命令查看。
立即学习“PHP免费学习笔记(深入)”;
2、使用文本编辑器打开php.ini文件,例如执行sudo nano /etc/php/8.1/apache2/php.ini。
3、搜索配置项disable_functions,若未设置则在适当位置添加该指令。
4、在disable_functions后添加需禁用的函数,多个函数间使用逗号分隔,例如:system,exec,passthru,shell_exec,popen,proc_open,pcntl_exec。
5、保存文件并退出编辑器,然后重启Web服务使配置生效,如执行sudo systemctl restart apache2或sudo systemctl restart php8.1-fpm。
二、通过.htaccess文件限制(适用于Apache环境)
对于共享主机或无法修改php.ini的场景,可使用.htaccess文件对特定目录下的PHP执行进行限制,实现细粒度控制。
1、进入网站根目录或需保护的子目录,例如/var/www/html。
2、创建或编辑.htaccess文件,执行nano .htaccess。
3、添加如下内容以设置PHP选项:php_admin_flag engine on 和 php_admin_value disable_functions system,exec,passthru,shell_exec。
4、保存文件,确保Apache已启用AllowOverride功能以允许.htaccess生效。
5、测试访问页面,确认危险函数已被禁用且无500错误。
三、使用PHP-FPM池配置隔离应用
在多租户或多个应用共存的环境中,可通过为每个应用配置独立的PHP-FPM池,并在池中单独设置禁用函数,实现更灵活的安全策略。
1、进入PHP-FPM配置目录,如/etc/php/8.1/fpm/pool.d/。
2、复制默认池配置并重命名为目标应用名称,例如cp www.conf site1.conf。
3、编辑site1.conf文件,在[site1]段落下添加:php_admin_value[disable_functions] = system,exec,passthru,shell_exec,popen,proc_open。
4、保存配置后重启PHP-FPM服务:sudo systemctl restart php8.1-fpm。
5、验证该池对应网站的PHP环境中相关函数是否已被禁用。
