操作系統:debian 6 32位
Web服務器:nginx/1.6.2
Php版本:Php5.4.26
nginx本身不能處理PHP,它只是個web服務器,當接收到要求后,如果是php要求,則發給php解釋器處理,并把結果返回給客戶端。nginx1般是把要求發fastcgi管理進程處理,fastcgi管理進程選擇cgi子進程處理結果并返回被nginx。
nginx觸及到兩個賬戶,1個是nginx的運行賬戶,1個是php-fpm的運行賬戶。如果訪問的是1個靜態文件,則只需要nginx的運行賬戶對文件具有讀取權限;而如果訪問的是1個php文件,則首先需要nginx的運行賬戶對文件有讀取權限,讀取到文件后發現是1個php文件,則轉發給php-fpm,此時則需要php-fpm賬戶對文件具有讀取權限。
1. linux下,要讀取1個文件,首先需要具有對文件所在文件夾的履行權限,然后需要對文件的讀取權限。
2. php文件的履行不需要文件的履行權限,只需要nginx和php-fpm運行賬戶的讀取權限。
3. 上傳木馬后,能不能列出1個文件夾的內容,跟php-fpm的運行賬戶對文件夾的讀取權限有關。
4. 木馬履行命令的權限跟php-fpm的賬戶權限有關。
5. 如果木馬要履行命令,需要php-fpm的賬戶對相應的sh有履行權限。
6. 要讀取1個文件夾內的文件,是不需要對文件夾有讀取權限的,只需要對文件夾有履行權限。
1. Nginx.conf的配置
2. php-fpm.conf的配置
3. nginx和php-fpm的運行賬戶對磁盤的權限配置
4. Php.ini的配置
0x04 常見需要配置的操作方法
1. 制止1個目錄的訪問
示例:制止訪問path目錄
location ^~ /path {
deny all;
}
可以把path換成實際需要的目錄,目錄path后是不是帶有"/",帶“/”會制止訪問該目錄和該目錄下所有文件。不帶"/"的情況就有些復雜了,只要目錄開頭匹配上那個關鍵字就會制止;注意要放在fastcgi配置之前。
2. 制止php文件的訪問及履行
示例:去掉單個目錄的PHP履行權限
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
location ~
/(attachments|upload)/.*\.(php|php5)?$ {
deny all;
}
示例:去掉多個目錄的PHP履行權限
3. 制止IP的訪問
示例:制止IP段的寫法:
deny 10.0.0.0/24;
allow
x.x.x.x;
allow 10.0.0.0/24;
deny all;
示例:只允許某個IP或某個IP段用戶訪問,其它的用戶全都制止
1.讓木馬上傳后不能履行針對上傳目錄,在nginx配置文件中加入配置,使此目錄沒法解析php。
2. 讓木馬履行后看不到非網站目錄文件取消php-fpm運行賬戶對其他目錄的讀取權限。
3. 木馬履行后命令不能履行取消php-fpm賬戶對sh的履行權限。
4. 命令履行后權限不能太高Php-fpm賬戶不要用root或加入root組。
1.修改網站目錄所有者為非php-fpm運行賬戶,此處修改所有者為root。
chown -R root:root html/
2. 修改nginx及php-fpm的運行賬戶及組為nobody
nginx.conf
Php-fpm.conf
3. 取消nobody對所有目錄的的讀取權限,然后添加對網站目錄的讀取權限
chmod o-r –R /
chmod o+r –R html/
4. 取消nobody對/bin/sh 的履行權限
chmod 776 /bin/sh
5. 確認網站目錄對nobody的權限為可讀可履行,對網站文件的權限為可讀
6. 對上傳目錄或寫入寫文件的目錄添加nobody的寫入權限
7. 配置nginx.conf 對上傳目錄無php的履行權限
8. 配置nginx.conf制止訪問的文件夾,如后臺,或限制訪問ip
9. 配置nginx.conf制止訪問的文件類型,如1些txt日志文件
實用常見命令:
ll -d html/
chown -R root:root html/
ll -d html/
root@kali:~# leafpad /etc/nginx/nginx.conf
user nobody;
#############################################
user = nobody;
group = nobody;
歡迎大家分享更好的思路,熱切期待^^_^^ !!!
程序員人生,我編程,我富裕,記住wfuyu網,php教程,php學習,php手冊,CMS模版制作
聲明:本站大部分內容是作者原創,少部分收集于互聯網供大家一起學習,原版權很多不明,如有侵權請聯系本站,謝謝!
粵ICP備14040726號-1?? 2015-2020 程序員人生 版權所有
