.本文為公測版，一旦發(fā)現(xiàn)有任何錯誤內(nèi)容，會立即進行修復，請持續(xù)關注本站。

2.本文在正式版之前會不斷的邀請各路黑客大手進行評價測試，歡迎提出異議。

本文僅針對網(wǎng)站部分，本文會對typecho，wordpress進行測試

如果你root端口為22，并且密碼是123456，就沒必要往下看了。

網(wǎng)站環(huán)境為linux tengine/nginx mariaDB，同理，apache也有相關設置，百度實驗下即可。

**本文會闡述以下部分

1.基礎權限控制

2.執(zhí)行目錄限制

3.PHP的限制

4.webshell寫入與執(zhí)行

5.權限細分，必須寫入的目錄**

1.基礎權限控制

什么叫基礎權限？在LNMP架構下，nginx+php-fpm架構需要什么權限？

這里我們先來看一下默認權限

默認我們的nginx運行用戶是nginx，而php-fpm的默認用戶是apache，默認用戶安全嗎？

看一下webshell

uid=48(apache) gid=48(apache) groups=48(apache)

很明顯，我們的默認用戶是apache

我們使用shell新建一個目錄，很明顯，我們是無法建立文件夾的

mkdir: cannot create directory `1': Permission denied

在網(wǎng)上很多教程會告訴我們，吧nginx和phpfpm改成同樣的用戶，我們看看會發(fā)生什么。

[root@gov 1]# sudo -u nginx mkdir 1

[root@gov 1]# ll

total 4

drwxr-xr-x 2 nginx nginx 4096 Aug 19 18:08 1

沒錯，這是一項愚蠢的決定！

所以默認權限是安全的嗎？并不是，你忘了上傳目錄，我們看下上傳目錄的權限

drwxrwx--- 3 nginx apache 4096 Aug 14 17:09 uploads

沒錯，上傳目錄的存在就是放大權限，如果php沒有寫入權限，那么他就無法上傳圖片。

假設，我們手里有一個0day，現(xiàn)在我要用它來getshell

我會選擇uploads目錄

-rw-r--r-- 1 apache apache 0 Aug 19 18:11 1.php

完美寫入，接著你的站就會被玩壞了，寫入shell后我們可以插件數(shù)據(jù)庫鏈接密碼，進網(wǎng)站后臺，脫褲，掛黑鏈等等等等

網(wǎng)站里有幾個目錄是默認可以寫入的？在你的網(wǎng)站目錄下執(zhí)行l(wèi)s -l

通常plugins themes uploads 這三個目錄都是可以寫入的。

你還有其他目錄可以寫入？趕緊修改權限吧！

加入我們的網(wǎng)站在/var/www/html/root

那么下面的命令是極好的，對于必須要有上傳權限的uploads目錄，我們下面再說

chown -R nginx.apache html

find /var/www/html/root -type d -exec chmod 750 {} \;

find /var/www/html/root -not -type d -exec chmod 640 {} \;

chmod 770 /var/www/html/root/uploads -R

如果你有某些插件也需要寫入權限，給他權限，并認真看下面的內(nèi)容。

2.執(zhí)行目錄限制

我們的apache權限有多大呢？相同的網(wǎng)站擁有相同的權限。

默認情況下，我們的apache權限能瀏覽大部分目錄。最要命的問題在于，他可以跨站執(zhí)行，從你的網(wǎng)站一直接執(zhí)行到網(wǎng)站二。

我們需要給他一個限制，每個虛擬主機一個單獨的限制，沒錯就是open_basedir。

這里我們需要特別的技巧，每個虛擬機都要限制

這樣虛擬主機將只允許在網(wǎng)站目錄和tmp目錄執(zhí)行，而不能穿越到其他目錄

在烏云有一篇討論繞過open_basedir的文章，所以open_basedir只能讓你更安全而不是徹底安全，所以你還需要往下看。

server {

location ~ .*\.php(\/.*)*$ {

#include pathinfo.conf;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/";

3.PHP的限制

我們想一個另類解決辦法，如何限制webshell的執(zhí)行？

在php.ini里，我們可以選擇關閉某些不安全的函數(shù)

但是由于php這玩意分之多又復雜，這里只能整理出一部分不安全的函數(shù)。

直接添加到php.ini最后面即可

disable_functions=exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,ini_alter,dl,popen,pcntl_exec,socket_accept,socket_bind,socket_clear_error,socket_close,socket_connect,socket_create_listen,socket_create_pair,socket_create,socket_get_option,socket_getpeername,socket_getsockname,socket_last_error,socket_listen,socket_read,socket_recv,socket_recvfrom,socket_select,socket_send,socket_sendto,socket_set_block,socket_set_nonblock,socket_set_option,socket_shutdown,socket_strerror,socket_write,stream_socket_server,disk_total_space,disk_free_space,diskfreespace,getrusage,get_current_user,getmyuid,getmypid,dl,leak,listen,chgrp,link,symlink,dlopen,proc_nice,proc_get_stats,proc_terminate,shell_exec,sh2_exec,posix_getpwuid,posix_getgrgid,posix_kill,ini_restore,mkfifo,dbmopen,dbase_open,filepro,filepro_rowcount,posix_mkfifo,putenv,sleep,chmod,chown,chroot,ini_set,phpinfo,proc_get_status,error_log,syslog,readlink,putenv

在看webshell，我們會發(fā)現(xiàn)里面空空如也了，并不能執(zhí)行命令了。

4.webshell寫入與執(zhí)行

現(xiàn)在我們的網(wǎng)站已經(jīng)很安全了，他能否更加安全？

現(xiàn)在，我們就要說說我們必須要有執(zhí)行權限的upload目錄了，nginx同樣提供了解決方案

location ~ /(usr/uploads)/.*\.(php|php5)?$

{

deny all;

}

這個時候我們打開uploads中的php文件會提示403

403 Forbidden

You don't have permission to access the URL on this server. Sorry for the inconvenience.

我們的效果得到驗證，即使寫入也不能執(zhí)行。

5.必須要寫入權限但是又包含php文件的目錄。

例如我的用的郵件通知插件目錄內(nèi)有cache和和log目錄，是必須有寫入權限的

這里千萬不要犯懶，直接給CommentToMail寫入

location ~ /(usr/uploads|usr/plugins/CommentToMail/cache|usr/plugins/CommentToMail/log)/.*\.(php|php5)?$

{

deny all;

}

既可以實現(xiàn)寫入文件，又可以讓php無法執(zhí)行。

總結，上面的所有配置：

用戶與PHP運行權限分離

nginx:apache

執(zhí)行目錄限制

open_basedir

PHP函數(shù)限制

php.ini

特殊目錄關閉PHP解析

deny all

權限細分

xx|xx|xx

歡迎拍磚，同時 起司靶場v2 上線，完全脫離安全鎖之類的軟件，歡迎測試。

起司靶場v2