大部分PHP程序员，都搞不懂如何安全代码部署【二】（nginx篇）

文件权限配置

https://www.digitalocean.com/community/tutorials/how-to-install-wordpress-with-lamp-on-ubuntu-16-04

在此之前发布了 代码安全部署的，里面写的nginx 配置安全写了一点点，今天具体补充一下nginx 的配置

nginx站点目录及文件URL访问控制

特别

如果是应用的话 像tp或laravel 单入口的，配置只能执行index.php 文件

	# 只有根目录下的index.php 才会执行php文件
   location ~ ^/index.php {
            try_files $uri =404;
            fastcgi_pass  unix:/tmp/php-cgi-74.sock;
            fastcgi_index index.php;
            include fastcgi.conf;
            include pathinfo.conf;
    }
	# 其他php文件都是不允许的
    location ~* .*\.(php)$ {
     deny all;
    }
1
2
3
4
5
6
7
8
9
10
11
12
13
14

一、根据扩展名限制程序和文件访问

利用nginx配置禁止访问上传资源目录下的PHP、Shell、Perl、Python程序文件。配置nginx，禁止解析指定目录下的指定程序。

location ~ ^/images/.*.(php|php5|sh|pl|py)$
{
    deny all;
}

location ~ ^/static/.*.(php|php5|sh|pl|py)$
{
    deny all;
}

location ~ ^/data/(attachment|avatar).*.(php|php5)$
{
    deny all;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14

对上述目录的限制必须写在nginx处理PHP服务配置的前面，如下：放置在server标签内：

server {
listen       80;
server_name  www.dmtest.com;
location / {
root   html;
index  index.php index.html index.htm;
}

location ~ ^/images/.*.(php|php5|sh|pl|py)$
{
    deny all;
}

location ~ ^/static/.*.(php|php5|sh|pl|py)$
{
    deny all;
}

location ~ ^/data/(attachment|avatar).*.(php|php5)$
{
    deny all;
}

......
......
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

nginx下配置禁止访问*.txt和*.doc文件配置如下：放置在server标签内：

location ~* .(txt|doc)$ {
      if (-f $request_filename) {
      root /data/www/www;
      #rewrite ...    #可以重定向到某个URL;
      break;
      }
  }
  location ~* .(txt|doc)$ {
      root /data/www/www;
      deny all;
  }
1
2
3
4
5
6
7
8
9
10
11

二、禁止访问指定目录下的所有文件和目录

配置禁止党文指定的单个或多个目录。
禁止访问单个目录的命令如下：
放置在server标签内：

location ~ ^/(static)/ {
    deny all;
}

location ~ ^/static {
    deny all;
}
1
2
3
4
5
6
7

禁止访问多个目录的配置如下：

location ~ ^/(static|js) {
    deny all;
}
1
2
3

禁止访问目录并返回指定的http状态码，配置如下：放置在server标签内：

server {
listen       80;
server_name  www.dmtest.com;
location / {
    root   html;
    index  index.php index.html index.htm;
}
location /admin/ { return 404; }　　　　#访问admin目录返回404；
location /templates/ { return 403; }　　#访问templates目录返回403

location ~ ^/images/.*.(php|php5|sh|pl|py)$
{
    deny all;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14

作用：禁止访问目录下的指定文件或者禁止访问指定目录下的所有内容。

三、限制网站来源IP访问

禁止目录让外界访问，但允许某IP访问该目录且支持PHP解析，配置如下：
在server标签内配置如下：

location ~ ^/mysql_loging/ {
    allow 192.168.0.4;
    deny all;
}

location ~ .*.(php|php5)?$ {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    include fastcgi_params;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
}
1
2
3
4
5
6
7
8
9
10
11

说明:该配置只允许192.168.0.4IP访问mysql_loging目录限制IP或IP段访问，配置如下：添加在server标签内：

location / {
    deny 192.168.0.4;
    allow 192.168.1.0/16;
    allow 10.0.0.0/24;
    deny all;
}
1
2
3
4
5
6

说明：此限制是对某些IP做整个网站的限制访问。nginx做反向代理的时候也可以限制客户端IP，具体如下：方法1：使用if来控制，配置如下：

if ( $remoteaddr = 10.0.0.7 ) {
    return 403;
}

if ( $remoteaddr = 218.247.17.130 ) {
    set $allow_access_root 'ture';
}

1
2
3
4
5
6
7
8

方法2：利用deny和allow只允许IP访问，配置如下：

location / {
    root html/blog;
    index index.php index.html index.htm;
    allow 10.0.0.7;
    deny all;
}
1
2
3
4
5
6

方法3：只拒绝某些IP访问，配置如下：

location / {
    root html/blog;
    index indx.php index.html index.htm;
    deny 10.0.0.7;
    allow all;
}
1
2
3
4
5
6

注意事项：deny一定要加一个IP，否者会直接跳转到403，不在往下执行了，如果403默认页在同一域名下，会造成死循环访问。对于allow的IP段，从允许访问的段位从小到大排列，如127.0.0.0/24的下面才能是10.10.0.0/16，其中:

• 24表示子网掩码：255.255.255.0
• 16表示子网掩码：255.255.0.0
• 8表示子网掩码：255.0.0.0以deny all;
  结尾，表示除了上面允许的，其他的都禁止。如：
• deny 192.168.1.1;
• allow 127.0.0.0/24;
• allow 192.168.0.0/16;
• allow 10.10.0.0/8;
• deny all;

四、配置nginx，禁止非法域名解析访问企业网站

方法1：让使用IP访问网站的用户，或恶意接卸域名的用户，收到501错误，配置如下：

server {
listen 80 default_server;
server_name _;
return 501;
}
1
2
3
4
5

方法2：通过301跳转主页，配置如下：

server {
listen 80 default_server;
server_name _;
rewrite ^(.*) http://www.dmtest.com/$1 permanent;
}
1
2
3
4
5

方法3：发现某域名恶意解析到公司的服务器IP，在server标签里添加以下代码即可，若有多个server要多处添加

if ($host !~ ^www/.dmtest/.com$) {
        rewrite ^(.*) http://www.dmtest.com.com$1 permanent;
}
1
2
3

Linux 25 PHP Security Best Practices For Sys Admins