WEB开发网
开发学院服务器WEB服务器综合平台 Win2000 Apache+PHP+MySQL 安装及安全手册 阅读

Win2000 Apache+PHP+MySQL 安装及安全手册

 2007-11-15 22:32:43 来源:WEB开发网   
核心提示: 对于apache(Unix平台最流行的WEB服务器平台)+PHP+MySQL(和PHP搭配之最佳组合)的经典组合,我们在这里与朋友们一同回顾一下在win2000上的配置,Win2000 Apache+PHP+MySQL 安装及安全手册,首先准备相关软件:apache(Unix平台最流行的WEB服务器平台) htt

   对于apache(Unix平台最流行的WEB服务器平台)+PHP+MySQL(和PHP搭配之最佳组合)的经典组合,我们在这里与朋友们一同回顾一下在win2000上的配置。首先准备相关软件:
  
apache(Unix平台最流行的WEB服务器平台) 
http://www.apache(Unix平台最流行的WEB服务器平台).org/dist/httpd/binaries/win32/ 
我们选用apache(Unix平台最流行的WEB服务器平台)_1.3.28-win32-x86-no_src.msi,或者apache(Unix平台最流行的WEB服务器平台)_2.0.47-win32-x86-no_ssl.msi 
都可以,勿使用低版本的程序,它们有缺陷,很容易遭到internet上的攻击 

php 
http://cn2.php.net/get/php-4.3.3-Win32.zip/from/a/mirror 
php-4.3.3 

MySQL(和PHP搭配之最佳组合) 
http://www.MySQL(和PHP搭配之最佳组合).com/get/Downloa ... 5-win.zip/from/pick 
MySQL(和PHP搭配之最佳组合)-4.0.15 
注:低于这个版本的MySQL(和PHP搭配之最佳组合),有缺陷,勿使用 

ZendOptimizer-2[1].1.0a-Windows-i386.exe 
php的优化器,支持加密php脚本 

MySQL(和PHP搭配之最佳组合)-Front 
一个运行于ms平台的gui的MySQL(和PHP搭配之最佳组合)的管理器,非常好用 

phpMyAdmin-2.5.0-php.zip 
基于php脚本的MySQL(和PHP搭配之最佳组合)管理器 

phpencode.exe 
php加密编译器 


install~ 
1.安装apache(Unix平台最流行的WEB服务器平台) 
由于安装很简单,pass~!,只是要注意的是,请勿安装到系统分区上 
因为这样,无论从备份,维护,灾难性恢复上,都是有优势的. 
假设安装到了d:\\ 
2.安装php 
具体安装过程请参考php目录里的install.txt 
需要注意的是,请勿使用cgi方式 
以下为引用资料 
------------------------------------------------------------------ 
Title 17/2/2002 
PHP for Windows Arbitrary Files Execution (GIF, MP3) 
Summary 
Through PHP.EXE, an attacker can cause PHP to interpret any file as a PHP file, 
even if its extensions are not PHP. This would enable the remote attacker to 
execute arbitrary commands, leading to a system compromise. 
Details 
Vulnerable systems: 
PHP version 4.1.1 under Windows 
PHP version 4.0.4 under Windows 
An attacker can upload innocent looking files (with mp3, txt or gif extensions) 
through any uploading systems such as WebExplorer (or any other PHP program that 
has uploading capabilities), and then request PHP to execute it. 
Example: 
After uploading a file a \"gif\" extension (in our example huh.gif) that contains 
PHP code such as: 
#------------ 
<? 
phpinfo(); 
?> 
#------------ 
An attacker can type the following address to get in to cause the PHP file to be 
executed: 
http://www.example.com/php/php.exe/UPLOAD_DIRECTORY/huh.gif 
Notice: php/php.exe is included in the URL. 
Additional information 
The information has been provided by CompuMe and RootExtractor. 
ps:大部分版本都有这个毛病.包括一些最新版本,所以请不要以cgi安装!切记... 
3.安装MySQL(和PHP搭配之最佳组合) 
安装到d:\\,也很简单,具体过程pass. 
只是MySQL(和PHP搭配之最佳组合)安装后的默认设置实在让人担心 
以下引用我原来的文章 
----------------------------------------------------------------------------------- 
2002/12/21 
写在前面:无事可做,生命被消耗,痛~~~啊,所以就写了,本文no原创,整理而成! 
默认安装的MySQL(和PHP搭配之最佳组合)服务不安全因素涉及的内容有: 
一.MySQL(和PHP搭配之最佳组合)默认的授权表 
二.缺乏日志能力 
三.my.ini文件泄露口令 
四.服务默认被绑定全部的网络接口上 
五.默认安装路径下的MySQL(和PHP搭配之最佳组合)目录权限 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
一.MySQL(和PHP搭配之最佳组合)默认的授权表 
由于MySQL(和PHP搭配之最佳组合)对身份验证是基于MySQL(和PHP搭配之最佳组合)这个数据库的,也叫授权表。所有的权限设置都在这里了。 
我们只讨论最为重要的一个表 user表。它控制的是接受或拒绝连接。 
先看一下 
select host,user,password,Delete_priv from user; 
+-----------+------+------------------+-------------+ 
| host | user | password | Delete_priv | 
+-----------+------+------------------+-------------+ 
| localhost | root | 67457e226a1a15bd | Y | 
| % | root | | Y | 
| localhost | | | Y | 
| % | | | N | 
+-----------+------+------------------+-------------+ 
现在新的版本,安装完毕都会出现一个快速设置窗口,用于设置口令。 
以上,就是user表里的内容(略了点)看看有什么问题? 
我们知道MySQL(和PHP搭配之最佳组合)的验证方式是比较特殊的,它基于两个2个信息来进行的 
1.从那里连接 
2.用户名 
第一条没什么问题,当然口令必须是安全的。 
第二条从任何主机,以用户root,不需要口令都可以连接,权限为所有的权限。(注:这里的权限是全局权限) 
第三条从本地主机,任何用户名(注:user为空白,不表示不需要用户名),不需要口令,都可以连接,所有的权限 
第四条从任何主机,任何用户名,不需要口令,都可以连接,无任何权限。 
可以看出,2\\3\\4都是不安全的,如何攻击这里就不说了,请参看资料文库。 
如果你MySQL(和PHP搭配之最佳组合)只允许本地连接,删除host的%和user中的nul(表示空) 
delete from user where host=‘%‘; 
delete from host where user=‘‘; 
最后的user表,看起来因该是这个样子 
+-----------+------+------------------+-------------+ 
| host | user | password | Delete_priv | 
+-----------+------+------------------+-------------+ 
| localhost | root | 67457e226a1a15bd | Y | 
+-----------+------+------------------+-------------+ 
最后需要刷新授权表,使其立刻生效 
flush privileges; 
如果你的MySQL(和PHP搭配之最佳组合)需要被远程使用,需要为%段中的root帐号,加上一个安全的密码 
update user set password=password(‘youpass‘) where host=‘%‘; 
其中youpass,就是口令 
MySQL(和PHP搭配之最佳组合)> select host,user,password,Delete_priv from user; 
+-----------+------+------------------+-------------+ 
| host | user | password | Delete_priv | 
+-----------+------+------------------+-------------+ 
| localhost | root | 67457e226a1a15bd | Y | 
| % | root | 77c590fa148bc9fb | Y | 
+-----------+------+------------------+-------------+ 
更好的做法是,对远程主机的连接,指定为特定的 
修改host中的%为允许连接的主机,比如: 
192.168.0.% 允许一个特定的子网 
www.sandflee.net 允许一个特定的主机 
帐号默认的名字也是担心的问题。有可能导致被暴力破解 
update user set user=‘localadmin‘ where host=‘localhost‘; 
update user set user=‘remoteadmin‘ where host=‘%‘; 
最后的user表看起来像是这个样子 
MySQL(和PHP搭配之最佳组合)> select host,user,password,Delete_priv from user; 
+-----------+-------------+------------------+-------------+ 
| host | user | password | Delete_priv | 
+-----------+-------------+------------------+-------------+ 
| localhost | localadmin | 67457e226a1a15bd | Y | 
| % | remoteadmin | 77c590fa148bc9fb | Y | 
+-----------+-------------+------------------+-------------+ 
更为详细的资料,请去参考晏子的《MySQL(和PHP搭配之最佳组合)中文参考手册》。随便那都有下 
二.缺乏日志能力 
MySQL(和PHP搭配之最佳组合)安装完成以后,会在%SystemRoot%目录下产生my.ini的设置文件 
默认的内容如下: 
—————————————————————————————— 
basedir=C:/MySQL(和PHP搭配之最佳组合) 
#bind-address=192.168.0.1 
datadir=C:/MySQL(和PHP搭配之最佳组合)/data 
#language=C:/MySQL(和PHP搭配之最佳组合)/share/your language directory 
#slow query log#= 
#tmpdir#= 
#port=3306 
#set-variable=key_buffer=16M 
[WinMySQL(和PHP搭配之最佳组合)admin] 
Server=C:/MySQL(和PHP搭配之最佳组合)/bin/MySQL(和PHP搭配之最佳组合)d-nt.exe 
user=root 
password=root 
———————————————————————————————
注意log#=这个 
它没有被定义,且被注销掉了。 
更改为一个适合的路径,比如: 
log=c:/MySQL(和PHP搭配之最佳组合)/logs/MySQL(和PHP搭配之最佳组合).log 
三.my.ini文件泄露口令 
我们看到my.ini最后,有这两句 
user=root 
password=root 
如果,你安装完成时,使用了MySQL(和PHP搭配之最佳组合)所提供的快速设置功能,(较新的版本)你的帐号和口令将被写到my.ini文件中。 
这也是MySQL(和PHP搭配之最佳组合)写到启动组里的winMySQL(和PHP搭配之最佳组合)admin.exe工具,运行时需要读取的。它提供的MySQL(和PHP搭配之最佳组合)服务 
的一些监视功能。这样winMySQL(和PHP搭配之最佳组合)admin.exe才能获得MySQL(和PHP搭配之最佳组合)服务的状态信息。 
其实,这个也不算漏洞,我们看看my.ini默认的权限,它可以被user组用户读取。 
从而导致口令被泄露 
解决方法: 
从新设定my.ini文件的权限. 
从新设定帐号及口令 
不使用快速设置 
四.服务默认被绑定全部的网络接口上 
服务被绑定到了所有的网络接口上,比如,你只需要一个运行在内网的MySQL(和PHP搭配之最佳组合)服务,但是你的机器有 
外网的接口,MySQL(和PHP搭配之最佳组合)也会被绑定上,从而带来一些不必要的麻烦和威胁。 
在my.ini里的这句 
#bind-address=192.168.0.1 
它默认被注销掉了 
应该打开它 
如果,只是本地使用,更改为 
bind-address=127.0.0.1 
如果是其它情况,应该选者一个合适的网络接口 
五.默认安装路径下的MySQL(和PHP搭配之最佳组合)目录权限 
MySQL(和PHP搭配之最佳组合)默认的安装路径为c:\\MySQL(和PHP搭配之最佳组合),基本上都难得改,要改的话也是麻烦,还要去改my.ini。 
但,这样就有个问题 
通常c:\\的权限是everyone组-所有的权限。这是默认的,由于继承性,导致MySQL(和PHP搭配之最佳组合)下的data目录 
也是everyone组-所有的权限。导致被随意访问、读取、删除,可能泄露和破坏数据。 
更改MySQL(和PHP搭配之最佳组合)目录到一个合适,安全的访问权限。 
over... 
----------------------------------------------------------------------------------------- 
这里面有个小小的语法错误,请自己找出来:) 

setup~ 
3个配置文档 
httpd.conf---apache(Unix平台最流行的WEB服务器平台) 
php.ini-----php 
my.ini------MySQL(和PHP搭配之最佳组合) 
1.http.conf 
由于ms版本的apache(Unix平台最流行的WEB服务器平台)不像*nix下有 
user,group这两条指令,所以你别指望它能像iis一样,把服务器应答影射到了iusr_name账号上 
*nix下为nobody,所以你的apache(Unix平台最流行的WEB服务器平台)是以system权限来运作的,它不太适合用于架设提供个人主页服务器 
httpd.conf很多参数,基本不用修改就可以工作了 
以下是要修改的地方 
删除htdocs目录下的所有文件.删除cgi-bin下的所有文件,它们是用于测试用的,不应该被保留. 
BindAddress * --需要绑定的地址 *只所有地址 
DirectoryIndex index.html index.htm --默认首页的名字 
AccessFileName .htaccess --控制文件名字,建议关掉或改名字,而且以\".\"开始的文件名在windows下是不允许的 
ServerSignature on --出错信息,建议off.这样就不会显示你apache(Unix平台最流行的WEB服务器平台)的版本号了 
----------------------------------------------- 
Alias /manual/ \"D:/apache(Unix平台最流行的WEB服务器平台)/htdocs/manual/\" 
<Directory \"D:/apache(Unix平台最流行的WEB服务器平台)/htdocs/manual\"> 
Options Indexes FollowSymlinks MultiViews 
AllowOverride None 清除 
Order allow,deny 
Allow from all 
</Directory> 
----------------------------------------------- 
AddHandler cgi-script .cgi .pl --如果需要支持cgi,就需要打开,否者注释掉 

LoadModule php4_module d:/php/sapi/php4apache(Unix平台最流行的WEB服务器平台).dll 
AddModule mod_php4.c 
AddType application/x-httpd-php .php --加入对php脚本的支持 
2.php.inf 

engine = On --打开php支持,如果不让php工作可以engine = Off 
safe_mode = Off --安全模式,应该打开它safe_mode = On 
safe_mode_exec_dir = --设定安全模式下可以执行程序的目录 
disable_functions = 要关闭的函数,用\",\"分隔建议关闭phpinfo,get_cfg_var 
expose_php = On 建议expose_php = Off,这样在header里就不会有php的版本号 
display_errors =On 建议 display_errors =Off,这样所有错误信息,都将关闭 
register_globals = Off 自动全局变量,一般都要打开register_globals = On,但会引发很多 
安全问题,特别是一些写编写的不是很好的php脚本,有可能危及到你的web server 
file_uploads = On 是否允许上传文件,如果你不需要就off 
allow_url_fopen = Off 是否远程打开功能,建议关闭 

;extension=php_gd.dll 
;extension=php_gettext.dll 
;extension=php_hyperwave.dll 
;extension=php_iconv.dll 
;extension=php_ifx.dll 打开一些需要支持的库,比如使用要使用图形函数 
需要copy php/extensions/php_gd.dll到你的系统目录,然后去掉; 
重新启动apache(Unix平台最流行的WEB服务器平台),就可以使用了 
3.my.ini 
上面有了,pass 
安全建议,以上3个设置文件,把他们的权限设定为system所有权限,administrators所有权限 

4.强化虚拟目录的安全性 
一些重要的指令 
具体的列子: 
<Directory \"d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/tools\"> 
Options Indexes 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 
php_flag engine off ;关闭php解释执行功能 
php_admin_value safe_mode 1 ;安全模式 1-打开 0-关闭 
php_admin_value open_basedir d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/tools ;限制在一个制定的目录 
这样就限制了php脚本只能打开d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/tools下的文件. 
以下代码就没什么用了 
----------------------------------------------------------- 
$fd = fopen( $filename, \"r\" ); 
$view = fread($fd, filesize($filename)); 
echo \"<pre>\"; 
echo htmlspecialchars(\"$view\"; 
echo \"</pre>\"; 
fclose( $fd ); 
----------------------------------------------------------- 
启用apache(Unix平台最流行的WEB服务器平台)-http验证功能 
清除 
<Directory \"d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/home\"> 
... 
... 
allowoverride authconfig 
</Directory> 
中的 

参数 allowoverride authconfig 
注意的,这里的d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/home,表示为我安装的apache(Unix平台最流行的WEB服务器平台)服务的web根目录,你的和我的不一定一样 
默认的,好象就没这个 allowoverride authconfig参数。 
allowoverride authconfig参数的含义。 
它的含义是,根目录下所有目录的访问控制由它目录下的.htaccess文件来设定。 
这里,我要多说点废话了。 
为什么是.htaccess,这个文件名,而不是其它的。 
这个是在AccessFileName参数中定义的。默认的是这样。 
AccessFileName .htaccess 
你要做的清除allowoverride authconfig参数(加#或者删掉) 
这样做的理由 
1.我觉得麻烦(每个目录都需要放上.htaccess文件,且以\".\"开头的文件名在windows系统下,是不允许的。) 
2.不太安全 (它有可能被人看到。) 
如何对你所想要指定的目录进行验证? 
一个列子 
<Directory \"d:/apache(Unix平台最流行的WEB服务器平台)/htdocs/home\"> //定义要验证目录路径 
AuthType Basic //方式,windows不支持md5,所以请使用basic方式 
AuthName TEST //定义显示在对话框领域名字 
AuthUserFile d:/apache(Unix平台最流行的WEB服务器平台)/user //定义密码文件 
ErrorDocument 401 \"Error Password //定义验证失败后显示的内容,当然可以是文件了 
require valid-user 注意,我这里让它直接显示Error Password,用\"开头就是了,只有一个哦 
</Directory> 
直接加到httpd.conf后面就是了。 
然后在apache(Unix平台最流行的WEB服务器平台)的安装目录里的bin目录里有个htpasswd.exe文件 
请到cmd下运行它 
d:\\apache(Unix平台最流行的WEB服务器平台)\\bin>htpasswd.exe 
Usage: 
htpasswd [-cmdps] passwordfile username 
htpasswd -b[cmdps] passwordfile username password 

htpasswd -n[mdps] username 
htpasswd -nb[mdps] username password 
-c Create a new file. //创建一个新的密码文件(你第一次使用,因该使用这个参数) 
-n Don\’t update file; display results on stdout. //显示到屏幕 
-m Force MD5 encryption of the password (default). //加密口令(md5方式)默认的 
-d Force CRYPT encryption of the password. //使用CRYPT方式加密口令 
-p Do not encrypt the password (plaintext). //不加密口令 
-s Force SHA encryption of the password. //使用sha算法加密 
-b Use the password from the command line rather than prompting for it. //互交方式 
On Windows, TPF and NetWare systems the \’-m\’ flag is used by default. 
On all other systems, the \’-p\’ flag will probably not work. 
—————————————————————————————————————— 
列子: 
d:\\apache(Unix平台最流行的WEB服务器平台)\\bin>htpasswd.exe -c d:\\apache(Unix平台最流行的WEB服务器平台)\\user taotao 
Automatically using MD5 format on Windows. 
New password: *** 
Re-type new password: *** 
Adding password for user taotao 
就创建完成了 
其中,要注意的 
passwordfile,不应该放到web目录,因为会被人下载,很蠢,虽然密码已经被md5过 
-c 参数是用于创建一个新的密码文件。 
d:\\apache(Unix平台最流行的WEB服务器平台)\\user路径,要和你在 
AuthUserFile d:/apache(Unix平台最流行的WEB服务器平台)/user 设置的一致。 
然后从新启动你的apache(Unix平台最流行的WEB服务器平台)服务 

记得备份你的httpd.conf,php.ini和my.ini 

安装ZendOptimizer-2[1].1.0a-Windows-i386.exe 
很简单,它回自动修改你的php.ini(c:\\winnt\\php.ini)文件 
添加了如下内容: 
[Zend] 
zend_optimizer.optimization_level=15 
zend_extension_ts=\"C:\\Program Files\\Zend\\lib\\ZendOptimizer.dll\" 

安装php优化器有很多的好处 
加速了php的运行速度,最为重要的是它可以加密php脚本 
这样你写在php脚本里的user ,pass就可以很好的被保护了 
此外,你还可以修改apache(Unix平台最流行的WEB服务器平台)的header,用utraedit32打开apache(Unix平台最流行的WEB服务器平台)Core.dll 
查找你所对应的apache(Unix平台最流行的WEB服务器平台)版本号,改成别的就可以了,比如我改成了 2000

希望本文能给您带来些许帮助。

Tags:Win Apache PHP

编辑录入:coldstar [复制链接] [打 印]
赞助商链接