各位站长大家下午好。先自我介绍一下，我是来自无锡太湖明珠网的毛伟，我们今天下午的话题是：PHP+MYSQL类社区的服务器通用安全防护措施。
    虽然这个话题，有一个前提，就是面对对象是那些使用自己独立服务器的站长，如果现在没有使用独立服务器的站长也希望可以先了解了解相关知识，相信你们很快就会有独立服务器的到时候就派的上用处了。
    安全和危险是相对的，这世界上没有绝对的安全和绝对的危险。同样，安全和易用也是相对的，要追求安全，就必定要牺牲易用，要易用势必要牺牲安全性（这里仅限指服务器的配置和维护）。如果有不太明白的同学可以参考下爱因斯坦的狭义相对论，开个玩笑，下午大家比较容易犯困，清醒一下。
    首先声明下，下面说所的这些防护措施，不是说照着做了就能保证服务器不被黑，因为我们所使用的大部分都是开源的社区程序，开源就等于不可避免的存在漏洞，那么这些防护措施的出发点，就是在程序产生漏洞的时候，尽可能的避免遭受攻击所影响的范围，比如服务器沦陷，整个服务器给黑客控制。我们今天所讲的防护措施分成 服务器环境安全，php安全设置，mysql安全设置几个方面
    首先讲一下服务器环境方面的安全措施。一般现在跑PHP+MYSQL类社区的服务器无非就是小流量的，windows比较多，大流量的linux比较多。不管是windows还是linux或者说其他的系统，安全防护第一步，关掉不用的端口，第二步限制重要端口的访问来源ip地址。比如我们跑web的，可以全开80端口，限制ftp、远程管理端口的来源ip地址，其它端口全部关闭。像ssh的22，远程终端的3389，mysql的3306这类重要端口我们可以通过软件防火墙或者硬件防火墙，限制来源的ip地址。有些tx可能会说我是adsl动态的，我没有办法固定ip地址，好，这里给你2个方案：
    1、放开限制的范围，每个地区的adsl拨号上网ip地址总有一定的范围，比如a.b.x.x，那么我们就把ip限制到a.b.*.*
    2.中转方法，有些站长可能不止1台服务器，可以通过另外一台中转的有固定ip地址的机器，来中转管理你的服务器。使用端口转发这种方法，限制了端口的访问，那么如果还要将安全级别提高一点的话，那就是修改端口号来增加安全性。这里也提个醒，实际上除非你有防止端口扫描的这种防火墙，不然改端口作用并不大，hack扫描下端口很方便。
    说到防止端口扫描，这个原来实际上就是跟踪用户在一定时间内访问服务器端口数量来实现的，比如在5秒内访问超过3个端口，就判断为端口扫描行为，然后就把用户的ip封掉。这里推荐个windows下面的软件防火墙，这类防火墙windows主机我推荐VisNeticFirewall （也叫8sign），VisNeticFirewall是款强大的windows下软件防火墙，可以限制进出规则，包括http应许访问的文件类型，比如限制mdb下载等等，也可以做端口扫描自动阻断。
    linux用自带的iptables，功能很强大，只有想不到，没有做不到。网络这一层安全做得好，你的系统就加固了很多，就算hack有你服务器的管理员，他也无从入手，除了80 webshell ，他什么也做不了。
    下面讲讲webserver的安全配置：
    windows主机用iis的站长还可以给每一个iis站点单独设定一个运行帐号，而且严格设置站点目录只有管理员和这个站点运行账户有权限，这样即使某个站点有漏洞，hack webshell进来了，危机到其他站点和系统，因为他除了能控制这个站点的目录下面的内容外，他根本无法访问其他目录，当然这个方法还有个前提，就是得把系统的目录权限梳理一遍，检查下有everyone权限的目录。一般c盘windows目录下面这类的目录蛮多，要记住everyone的目录就算做了上面的独立iis账户的方法，hack还是能访问的，关于这类网上文章也蛮多，搜一下仔细看看。
    linux的可就没这么方便咯，因为apache nginx是以统一的用户身份来运行的，没法每个站点独立设置一个运行用户，比较要命的是linux下面系统的目录一般其它用户都是可读的，所以比较安全的做法是把apache或者nginx php的用户和web目录的所有者用户独立开来。
    先说nginx + fastcgi php，这是目前比较常见的搭配，那么可以把nginx的运行用户设为www astcgi php的用户设为php，然后web目录的用户设为www，在严格按照dz文档设定下目录的什么777 664这种的权限。这里把nginx和目录所有权用户都用www是方便一些静态文件的访问，省得权限卡得很死，非得完全严格的去设置目录权限。当然要求严格的站长完全可以把nginx和web目录的用户也分开。
    apache和php结合有个非常方面的好处，就是可以给每个vhost设定一些php的设置，所以我们用apache的tx可以用这一特性，给每个vhost 设定下open_basedir 这个php设置，open_basedir就是这个vhost的php运行的时候能够访问的目录，这样也就能在apache下面实现iis那样独立帐号运行的类似效果，把php的访问范围框住，防止1个有漏洞危及系统和其他站点。
    这里举个例子，就贴部分了：
DocumentRoot /website/www/bbs.site.com
ServerName bbs.site.com
php_admin_value open_basedir /website/www/bbs.site.com/:/website/tmp/
php_admin_value open_basedir /website/www/bbs.site.com/:/website/tmp/
    这个意思就是bbs.site.com下面运行的php，只能访问/website/www/bbs.site.com/ 和/website/tmp/下面的文件，想访问其他目录的文件，没门。这个设置 如果有多个目录，比如php上传临时目录，session临时目录，可以用: 冒号分割（windows下面用; 号）。这个方法在windows 和linux的apache上都能用，但是必须要以LoadModule 方式跑php的才行，这个方法像nginx那样 用fastcgi php方式的就没法，如果实在想用可以用nginx proxy的方式，php用apache来跑这样就能在nginx下面也用上这个open_basedir功能了。如果实在要用nginx+fastcgi php的方式的话，可以在php.ini里面设置个总的open_basedir，比如你的站点都是放在/website/www/ 下面的那就把open_basedir 设定到/website/www/，这样虽然一个站点沦陷了，也会跟着沦陷其他站点，但是至少能保证系统文件不会沦陷，比较适合喜欢偷懒的。
    刚刚说到的apache里面vhost，还有个有用的设置php_flag engine off。先来看个例子：
php_flag engine off
    这个意思就是/website/www/bbs.thmz.com/attachments 这个目录下面的文件，不进行php执行，哪怕是个php也会把源代码爆出来就是不执行php。一些永远也不会有php执行需要的目录，特别是用户上传的文件啊，头像啊这些目录 可以用这个设置下，设的时候注意别搞错了，这个开了 ，要是有php可是直接暴源代码的。
    iis用户不要急，其实iis里面也是有这个功能的，在iis站点管理里面找到不需要执行的目录右键->属性，如下图：
 
 
 
    把这个执行权限设成“无”就行了，反正记得关之前先看看目录下面的文件，别关错了暴了源代码，这个功能同样用fastcgi方式跑的php没戏，这个环境目前也就想起来这么多，就先到这里吧。
    这里顺便提一下，如果有多台服务器的站长，提倡把前台和数据库分开。就是运行程序1台服务器，数据库1台服务器。这样其实也有点和安全有关系。一些程序可能注入漏洞这漏洞爆的比较多，假如你把数据库分离开来了，那么hack在注入的时候实际上是在数据库那台服务器上面，万一你mysql连接的用户是个root权限的话，那他用mysql的load file这种函数 也只能去读取数据库那台服务器上面的系统文件，这样乐观的将至少你web程序这台服务器保障了。
    下面就简单说说php和mysql吧：
    php的安全设置刚刚那个open_basedir也讲过了，其它无非就是一些php.ini里面的设置了。
    首先肯定是display_errors=Off 关闭出错日志，然后log_errors = On 再设置下error_log= 把出错信息记录到服务器文本上。这里注意不要放在web目录下，或者说open_basedir的目录下，不然hack用webshell一读 你这设置就等于白做了
magic_quotes_gpc = On
register_globals = Off
    这2个参数可以限制下非法参数或者变量的提交，防止某些程序写的不是很严谨的时候，带来安全隐患
    disable_functions = phpinfo,get_cfg_var,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,show_source,popen,escapeshellcmd,escapeshellarg
    disable_functions 就是php禁止使用的函数
    php是很强大的，所以有很多危险的php函数，这些函数给hack利用能直接危及到系统的安全。所以我们需要在web程序不需要这些函数的前提下，把这部分危险的函数禁止。上面的disable_functions是我安装dz的程序列出的一个参考，如果和你服务器上的某些程序使用的函数冲突，那自己衡量下可以去掉。把程序需要的函数在disable_functions 里面去掉就行。
    php讲完了，就这么简单，这里实际上最关键的就是open_basedir和disable_functions，这2个一做，那安全性的提升是相当显著的。下面说mysql：
    说mysql前补充下，不要用系统管理员用户，或者root 来运行mysql，windows的服务默认执行用户权限可都是很高的哦，SYSTEM linux就是root用户，用管理员身份运行php mysql，一但mysql 权限设置不当沦陷了，那他的webshell可就是你系统的root身份，所以mysql 第一件事，把运行用户检查下，一定要以普通用户身份运行，然后清理下mysql的用户，在默认安装的mysql里面有一些用于本地登录的不需要密码的root用户，这类用户应该全部删掉，如果你需要远程用工具管理mysql的留个root@% ，本机用phpmyadmin的就留个root@localhost 当然其他你自己建的用户别删，mysql的用户 权限可以定的很细，root@localhost 就是root用户，只能在本机登陆，这个root用户请注意，不要给任何web应用程序用，自己管理用用就行，看紧了
    然后对于每个web应用程序(注意是每个)单独建立一个对应的mysql帐号，还有每个web程序的datebase也单独建个，比如：
uc database 用xx_uc, mysql用户用xx_uc
dz database 用xx_bbs, mysql用户用xx_bbs
uch database 用xx_uch, mysql用户用xx_uch
    然后这几个mysql的xx_uc bbs uch用户，记得了不要给全局权限global privileges，一个都不要给
    给了就和root差不多了，应该有个地方设置用户权限的，manage privileges。xx_uc bbs uch 每个用户选择对于的数据库，xx_uc 就选择xx_uc，bbs就选bbs，uch就选uch，记住了只给 select insert update delete create drop index alter 权限，其实一般的程序就只需要 select insert update delete。论坛的程序可能在某些后台操作下需要用到create drop index alter，喜欢严格的站长可以需要的时候再开create drop index alter，这样就算有注入漏洞，那他也就只能去改改当前数据库的内容。
    这里也有个提议，不要用dz默认的cdb_、uc_、uch_前缀 ，使用这些默认都是公开的前缀，hack进来一猜就知道你用户表是什么名字，然后update下密码，就拿到你的管理员了。
    mysql的基本也就这样了。关键每个程序独立用户权限最小化的设置，想如果自己做过一些调用程序，那完全可以只给个有select权限的mysql用户就行了，最后程序方面可以小改改，比如使用dz的站长把admincp.php文件改改名字，只需要跟着改几个模板就行，不影响后台使用，但是确安全很多，如果改了这个文件，那上次dz被黑，后台风格那个漏洞，根本就没法使用，直接免疫，人家拿了管理员也没法进后台，多安全。
    最后总结一句话，安全做得好，就算程序有漏洞，hack也没办法利用，就算hack利用了漏洞，那他也上传不了webshell，就算hack上传了webshell，那他也拿不到系统权限，就算hack拿到了系统权限，那他也上不来服务器。好了今天就到这里了，谢谢大家
 
    主讲人简介：毛伟，太湖明珠网技术总监，非常战网创始人，首席网管、二泉网联合创始人之一。