Windows下PHP+MySQL+IIS安全平台III 变态配置
2009-01-15 13:51:23 来源:WEB开发网如果是默认的Apache设置或者Web服务器以Loacalsystem权限或Administrators权限运行,攻击者可以使用这个漏洞来提升权限。所以我们必须要关闭掉com.allow_dcom这个参数默认是True,我们需要吧这个参数修改成com.allow_dcom=false。第八个参数是expose_php。这个参数决定是否暴露 PHP 被安装在服务器上。如图3所示,如果这个参数设置为On的话就会把php的版本等泄露出来了。我们的推荐值是Off。
PHP+MySQL+IIS安全平台III 变态配置" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>
图3
基本上的参数我们就介绍完了,当然php.ini还需要配置,大部分设置跟安全是没有关系的,很大一部分都跟PHP运行的效果(例如优化)等有关系,如果大家有兴趣的话可以自己参考一下php的官方手册来具体了解一下。注意:修改完php.ini以后,必须重新启动IIS,不然你设置的内容不会即时生效。
二、 IIS变态配置
我们配置完了php.ini,虽然已经算是相当安全了。但是毕竟最重要的设置还是在IIS上面,IIS可以限制某些用户的登录,同时也可以为数据增加SSL(安全套接层)来增强数据在传输过程中的安全性。可以利用IIS限制某些应用程序例如php的执行规则,例如,让php只能运行在指定的目录中,其他的目录是不能执行php的。下面举个例子就好理解了,例如:www.sina.com这个网站,大家都知道的,这个是新浪的。
新浪每天的访问量是非常大的,所以他不可能把所有的东西都放在一个服务器上面,这个时候可能就会把特定的资源例如图片,视频等放到一个专门的服务器上。这个时候,新浪的安全管理员就做了个非常变态的策略,就是在这些提供特定资源的服务器上面不能运行任何的脚本,例如不能执行php等,当然我这里只是举个例子,因为大部分的新浪的服务器都是Linux系列的,在他上面跑的可能是Nginx或者是apache,apache的这部分设置我们会在以后的教程中涉及。
更多精彩
赞助商链接