Chakira
11-02-2013, بتوقيت غرينيتش 01:07 AM
بسم الله الرحمن الرحيم
سنعتمد بدرس مفصلنا على نظم الحماية المبنية داخل مترجم الphp نفسه واللتي للأسف ليست مفعله من الاساس
اولا Safe_Mode
هي ميكانيكة حماية موجوده داخل مترجم الphp وعند تفعيله يقوم بالتالي او اكثر:-
1- يقوم مترجم الـphp بمقارنة مالك السكربت مع مالك الملف وذلك عن طريق كل من
GID او رقم المجموعة (group ID) + والـUID او رقم المستخدم (user ID) وفي حالة تطابقها يسمح للسكربت بالتعامل مع الملف سواء كانت قرأه او كتابه حسب الصلاحيات.
ولكن ما اللذي نستفيده من كل هذا؟؟؟
قف لحضة!!!
قبل ان تسئل هذا السؤال هل كنت تعرف ان نظام لينكس يضع الملفات تحت قيمتين وهما رقم المجموعة ورقم المستخم ,,, بمعنى
لو كنت بوضع root وقمت بأنشاء ملف ولنقل test.php عند تطبيق الامر ls -l سيكون المخرج كالاتي:-
رمز PHP:
<code style="white-space:nowrap"> <code> -rw-r–r– 1 root root 0 Aug 12 23:25 test.php
</code> </code>
root <<<< الاول من اليسار يرمز الى رقم او اسم المستخدم
root <<<< الثاني يرمز الى رقم المجموعة
الان بعد هذا كله : ما اللذي سوف نستفيدة ايضا
مثلما ذكرنا ان في حاله تفعيل الـsafe_mode سيمنع النظام ملفات او سكربتات الـphp من قرائة الملفات اللتي لا تحمل نفس المالك ….
وبذلك قد نظمن عزل المواقع عن بعضها على اقل تقدير
مثال:
لو حاول احد المخترقين استغلال احد الثغرات او الملفات الموجوده داخل الموقع للحصول على ملف passwd((الملف يحتوي معلومات المستخدمين ومسارات ملفاتهم)) الموجود بالمسار etc فأن النظام سوف يمنعه لان مالك السكربت ((الموجود نظريا ضمن ملفات الموقع)) يحمل رقم مستخدم ورقم مجموعه مختلف عن ملف passwd
لاحظ الاتي:
لو افترضنا وجود السكربت التالي على احد المواقع
رمز PHP:
<code style="white-space:nowrap"> <code> <?php
readfile(’/etc/passwd’);
?> </code> </code>
وحاولنا تشغيله فسوف تضهر رساله قريبه من التالي:
رمز PHP:
<code style="white-space:nowrap"> <code> Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /username/script.php on line 2
</code> </code>
مما يعني منع المستخدم من قرأه الملف
2- يقوم مترجم الـPHP بمنع الدوال اللتي تقوم بتشغيل برامج النظام وتقوم بتنفيذ الاوامر مثل system() و exec() من العمل مما يعني تعطيل اغلب مميزات ملفات الشل عن العمل والدوال اللتي يقوم المترجم بمنعها هي كالاتي:
رمز PHP:
<code style="white-space:nowrap"> <code> escapeshellarg , escapeshellcmd ,exec,passthru,proc_close,proc_open(),proc_get_sta tus,proc_nice,proc_open,,proc_terminate,shell_exec ,system
</code> </code>
وطبعا سنرى كيف يمكننا تعطيلها نهائيا عن العمل بطريقه اخرى ….طبعا يجب ان تعلم ان الحماية سلاح ذو حدين فأن قمت بتكثيفها سوف تسبب مشاكل للمواقع المستضيفه لان بعض البرامج لا تعمل الا في حاله عمل هذه الدوال لذلك يجب الاقتصاد بهذا الجانب وسنرى ايضا كيف يمككننا حل كل مشاكل التعارض بالدرس مفصل… تابع….
safe_mode_gid :
قلنا بالسابق انه في حاله تفعيل safe_mode فأن المترجم سيتأكد من مالك الملف عن طريق كل من UID و GID وعند تفعيل safe_mode_gid سيقوم النظام بالتأكد من UID فقط وسيتجاهل قيمه GID .
safe_mode_include_dir :
بهذا الخيار نقوم بتحديد مسار معين وهذا المسار سيكون متجاهلا من قبل مترجم الphp أي انه لن يقوم بعمل مقارنه للUID والGID
safe_mode_exec_dir :
بهذا الخيار يمكنك وضع مسار امن يمكن للدوال مثل system() من تشغيل البرامج حيث سيقوم المترجم بتجاهلها داخل مجلد المسار والملفات الموجوده بداخله
open_basedir:
هنا بأمكاننا اعطاء المسارات الامنه اللتي نريد السماح لملفات الـphp بالتعامل معها وهذا الخيار ليس مرتبطا بحاله safe_mod
وعموما في حاله تفعيلنا للخيار يجب السماح لملفات الـphp بالعبور للمسارات الاتية
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/lib/php
/usr/local/lib/php
/tmp
</code> </code>
بالاضافه الى مجلدات المستخم طبعا
وعموما تكون تحت المسار /home
لكني افضل استخدام هذا الخيار من الـwhm وانصح الجميع بأستخدامة من هناك لكن قمت بالتوضيح لكي يكون الشرح طريقة عام لأغلب الانظمة ولوحات التحكم
disable_functions:
هنا نقوم بتحديد الدوال اللتي نريد اغلاقها واللتي تشكل خطرا على النظام وستم ذكرها بالقسم التطبيقي من الشرح طريقة
register_globals:
عندما تكون قيمة هذا الخيار On فأنه قد يشكل خطرا كبيرا على برامج حيث يقوم بتسجيل كل المدخلات سواء كانت من البيئه او GET او POST او COOKIES كـ global variable وينصح بشده وضع الخيار بحاله off ولتفاصيل اكثر يمكنك سؤال مبرمجي الـphp
:allow_url_fopen
اغلبنا لاحظ انتشار ثغرات الـfile include واغلب الاخطاء البرمجيه تمكن المخترق من اسدعاء ملف داخلي وتكون الثغره local او محلية اي انه يمكنه اسدعاء ملف passwd لكن قمنا بتقليل خطورتها بتفعيل safe_mode لكن تبقى ثغرات الـremote ويأتي دور الداله هنا حيث تمنع ذلك مما يقلل من خطوره هذه الثغرات الى ابعد حد ولن يتمكن المخترق من سحب الشل من مواقع خارج السيرفر SERVER وسنتعلم تفعيلها للمواقع اللتي تحتاجها لتجنب حدوث التضارب مع برامج العملاء .
اخيرا وليس اخرا expose_php :
سنقوم بأعطائها قيمه off لكي لا يقوم مترجم الـphp بأرسال معلومات عن نفسه بداخل HTTP header
—————————–
بعد ان اخذنا جوله جيده على اساسيات وميكانيكيات الحماية بالـphp سنتجه الى الجانب التطبيقي وكيف يمكننا اعداد الphp لكي تعمل بأمان على سيرفر SERVERاتنا بدون ادنى جهد.
واريد ان اذكر هنا انه يجب الحذر الشديد عند التعامل مع ملفات الاعداد مثل php.ini و httpd.conf اوا اي ملف مرتبط بها حيث انها حساسه جدا واي خطأ بأدخال البيانات سوف يسبب خطأ عند اعاده تشغيل الapache لذلك يجب الانتباه .
سينقسم الشرح طريقة الى جانبين
الاول تركيب install الحماية والثاني سوف يكون عن تهيئه بيئه الphp للعملاء على السيرفر SERVER فيما يتناسب مع احتياجات برامجهم ,,, فيوجد بعض البرامج اللتي تطلب تفعيل الـregister_globals او الـsafe_mode على سبيل المثال وبالتأكيد لن نريد خساره العميل لعدم توافق بيئه السيرفر SERVER مع سكربتات موقعه ومن جانب اخر لا نريد فقدان الحماية على السيرفر SERVER اي يجب ان نبقي عى شعرة معاوية بيننا وبين العميل
اولا تركيب install الحماية :
يلزم لكل ما سبق انا نقوم بتحرير ملف php.ini على حسب احتياجاتك الخاصه (سأقوم هنا بوضع اعدادات سيرفر SERVERي) وسوف تجده بالمسار التالي
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/lib
</code> </code>
او بالمسار التالي اذا كنت تملك الـZend_optemizer على سيرفر SERVERك
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/Zend/etc/
</code> </code>
قم بتطبيق الامر التالي
nano php.ini او pico php.ini على حسب المحرر الموجود على سيرفر SERVERك
الان سنعدل على الخيارات خطوه وخطوه وافضل عمل رستارت للـapache بعد كل تعديل لكي نتمكن من تعديل الخطأ بسرعة في حاله حدوثه
1-الان قم بالبحث عن safe_mode بواسطة ctrl+w او بالبحث يدويا عنه
وقم بالتعديل عليه لكي يصبح
safe_mode = On
2- ابحث عن safe_mode_gid وتأكد من ان قيمته كالاتي
safe_mode_gid = Off
3- ابحث عن disable_functions
وهنا سوف نقوم بتعطيل الدوال الخطره + تعطيل الدوال تخطي الـsafe_mode حيث للأسف لم يقم فريق الـphp بفعل اي شيء حيال الثغرات المكتشفه على حسب علمي
عموما من الافضل ان تعطل الدوال التالية
دوال ثغره تخطي السيف مود
رمز PHP:
<code style="white-space:nowrap"> <code> copy,error_log,tempnam,curl_init
</code> </code>
دوال الـphp الخطيره
رمز PHP:
<code style="white-space:nowrap"> <code> proc_get_status,proc_nice,proc_open,proc_terminate ,shell_exec,highlight_file,escape
shellcmd,pclose,pfsockopen,chgrp,chmod,debugger_
off,debugger_on,leak,listen,define_syslog_variable s,ftp_exec,posix_
uname,posix_getpwuid,get_current_user,getmyuid,get mygid,apache_child_terminate,posix_kill,posix_mkfi fo,posix_setpgid,posix_setsid,posix_setuid
,pfsockopen,chgrp,chmod,debugger_off,debugger_on,l eak,listen,define_syslog_variables,ftp_exec
,posix_uname,posix_getpwuid,get_current_user,getmy uid,getmygid,apache_child_terminate
,posix_kill,posix_mkfifo,posix_setpgid,posix_setsi d,posix_setuid
,escapeshellarg,getservbyport,getservbyname,myshel lexec,escapeshellarg
</code> </code>
وتأكد من كتابتها على سطر واحد عند تحريرها داخل ملف php.ini والا ستسبب مشكله عند التشغيل (اكرر على سطر واحد)
4- قم بالبحث عن register_globals وتأكد من ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> register_globals = Off
</code> </code>
5- قم بالبحث عن allow_url_fopen وتأكد من ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> allow_url_fopen = Off
</code> </code>
6-قم بالبحث عن expose_php وتأكد ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> expose_php = off
</code> </code>
والان قم بعمل اعادة تشغيل للـapache سواء عن طريق لوحة تحكم السيرفر SERVER او عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> httpd restart
</code> </code>
وسوف يكون المخرج كالتالي
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/sbin/httpd restart: httpd restarted
</code> </code>
وفي حالة ظهور اي خطأ سوف تكون المشكله بسبب التعديل بطريقه خاطئه فقم بمراجعة تعديلاتك
ثانيا تهيئه بيئه الـphp لكي تناسب احتياجات العملاء
الكثير من خيارات الـphp قد لا تناسب سكربتات العملاء على السيرفر SERVER ولذلك يجب تغييرها وهنا سنتعلم معا كيفيه تغييرها لكل موقع على حده بمعنى,,, لو طلب منك احد العملاء ان تفعل الـregister_globals لموقعة سوف تقوم بتفعيله لملفات موقعه فقط بدون الحاجة لتفعيلة على السيرفر SERVER بأكمل ويجدر بي هنا ان اذكر ان هنالك قيمتين لخيارات ملف php.ini واحده تكون local value وهي للموقع فقط والثانية تكون Master value وهي قيمه الخيار للسيرفر SERVER بأكمله ويمكنك معرفه كل ذلك بوضع الملف التالي في احد المواقع وطلبه عن طريق المتصفح .
رمز PHP:
<code style="white-space:nowrap"> <code> <?php
phpinfo();
?> </code> </code>
((سوف نتفق على كلمه “تخصيص” على ان تعني تعديل الخيار او تخصيصه لموقع معين))
((نقصد بالخيارات القيم الموجوده بداخل ملف php.ini كالـsafe_mode على سبيل المثال))
تنقسم الخيارات الموجوده بداخل ملف php.ini الى عده اقسام وهي:
PHP_INI_USER : ويمكننا تخصيصها من الرجستري في حاله سيرفر SERVERات الوندوز.
PHP_INI_PERDIR : ويمكننا تخصيصها بواسطة ملف .htaccess يوضع بداخل مجلد السكربت او الموقع ويمكننا التعديل عليها ايضا عن طريق ملف httpd.conf
PHP_INI_SYSTEM : ويمكننا تخصيصها عن طريق ملف httpd.conf فقط
PHP_INI_ALL : يمكننا تخصيصها عن طريق كل ما سبق
((لاحظ ان القيم الاساسيه او الـMaster value نحددها عن طريق ملف php.ini))
ويمكنك معرفه الخيار والى اي قسم ينتمي عن طريق الوصله التالية http://www.php.net/manual/en/ini.php
ويتم اعطاء القيم بشكلين مختلفين
On او Off عن طريق php_flag
اي سلسه قيم او مسار عن طريق php_value
بفرض انه بأمكانك تخصيص الخيار عن طريق ملف .htaccess
يمكنك عمل ملف .htaccess عادي في موقعك واضافه التالي الية
رمز PHP:
<code style="white-space:nowrap"> <code> php_flag register_globals on
</code> </code>
وهنا سوف يكون الـlocal value او القيمه المحلية للخيار register_globals بحالة On بالنسبه لملفات موقعك
وان كان الخيار لا يمكن تخصيصه الا من ملف httpd.conf كالـsafe_mod على سبيل المثال حيث انه يقع ضمن قسم PHP_INI_SYSTEM اللتي لا يمكن تخصيصها الا من ملف httpd.conf
فقم بالتعديل على ملف httpd.conf بالمسار
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/apache/conf
</code> </code>
بواسطة المحرر peco او nano وابحث عن عنوان الموقع username.com
وتأكد ان كل ما تقوم بكتابته يقع ضمن نطاق اعدادات الموقع
وسوف يكون بالشكل التالي على فرض ان الموقع هو www.q82host.com (http://www.q82host.com) واسم المستخدم هو q8
<VirtualHost 74.86.142.254>
ServerAlias www.q82host.com (http://www.q82host.com)
ServerAdmin adminhttp://www.dzbatna.com/images/mail.gifq82host.com
DocumentRoot /home/q8/public_html/
BytesLog domlogs/q82host.com-bytes_log
ServerName q82host.com
<IfModule mod_php4.c>
php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
php_admin_flag register_globals on
php_admin_value disable_functions none
</IfModule>
<IfModule mod_php5.c>
php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
</IfModule>
User q82host
Group q82host
CustomLog /usr/local/apache/domlogs/q82host.com combined
ScriptAlias /cgi-bin/ /home/q82host/public_html/host/cgi-bin/
</VirtualHost>
تأكد انك تقوم بالتعديل بين كل من
رمز PHP:
<code style="white-space:nowrap"> <code> <VirtualHost 74.86.142.254>
…………………………
…………………………
………………..
</VirtualHost>
</code> </code>
وسنخصص على حسب اصداره الphp لدينا فأن كانت 4
نعدل بين
رمز PHP:
<code style="white-space:nowrap"> <code> <IfModule mod_php4.c>
…………………………….
…………………………
……………………
</IfModule>
</code> </code>
وان كنا نستخدم الاصداره الخامسة
رمز PHP:
<code style="white-space:nowrap"> <code> <IfModule mod_php5.c>
………………………….
………………………
……………………
</IfModule>
</code> </code>
ويكون التعديل كالتالي
php_admin_flag لأي قيمه On او Off
و
php_admin_value لأي سلسه من القيم او مسار ملفات
وطبعا من الممكن ان تكون القيمه none كالمثال بالاعلى
رمز PHP:
<code style="white-space:nowrap"> <code> php_admin_value disable_functions none
او php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
</code> </code>
وتأكد من كتابتها بنفس الطريقه الموضحة
--- انتهى ---
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
سنعتمد بدرس مفصلنا على نظم الحماية المبنية داخل مترجم الphp نفسه واللتي للأسف ليست مفعله من الاساس
اولا Safe_Mode
هي ميكانيكة حماية موجوده داخل مترجم الphp وعند تفعيله يقوم بالتالي او اكثر:-
1- يقوم مترجم الـphp بمقارنة مالك السكربت مع مالك الملف وذلك عن طريق كل من
GID او رقم المجموعة (group ID) + والـUID او رقم المستخدم (user ID) وفي حالة تطابقها يسمح للسكربت بالتعامل مع الملف سواء كانت قرأه او كتابه حسب الصلاحيات.
ولكن ما اللذي نستفيده من كل هذا؟؟؟
قف لحضة!!!
قبل ان تسئل هذا السؤال هل كنت تعرف ان نظام لينكس يضع الملفات تحت قيمتين وهما رقم المجموعة ورقم المستخم ,,, بمعنى
لو كنت بوضع root وقمت بأنشاء ملف ولنقل test.php عند تطبيق الامر ls -l سيكون المخرج كالاتي:-
رمز PHP:
<code style="white-space:nowrap"> <code> -rw-r–r– 1 root root 0 Aug 12 23:25 test.php
</code> </code>
root <<<< الاول من اليسار يرمز الى رقم او اسم المستخدم
root <<<< الثاني يرمز الى رقم المجموعة
الان بعد هذا كله : ما اللذي سوف نستفيدة ايضا
مثلما ذكرنا ان في حاله تفعيل الـsafe_mode سيمنع النظام ملفات او سكربتات الـphp من قرائة الملفات اللتي لا تحمل نفس المالك ….
وبذلك قد نظمن عزل المواقع عن بعضها على اقل تقدير
مثال:
لو حاول احد المخترقين استغلال احد الثغرات او الملفات الموجوده داخل الموقع للحصول على ملف passwd((الملف يحتوي معلومات المستخدمين ومسارات ملفاتهم)) الموجود بالمسار etc فأن النظام سوف يمنعه لان مالك السكربت ((الموجود نظريا ضمن ملفات الموقع)) يحمل رقم مستخدم ورقم مجموعه مختلف عن ملف passwd
لاحظ الاتي:
لو افترضنا وجود السكربت التالي على احد المواقع
رمز PHP:
<code style="white-space:nowrap"> <code> <?php
readfile(’/etc/passwd’);
?> </code> </code>
وحاولنا تشغيله فسوف تضهر رساله قريبه من التالي:
رمز PHP:
<code style="white-space:nowrap"> <code> Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /username/script.php on line 2
</code> </code>
مما يعني منع المستخدم من قرأه الملف
2- يقوم مترجم الـPHP بمنع الدوال اللتي تقوم بتشغيل برامج النظام وتقوم بتنفيذ الاوامر مثل system() و exec() من العمل مما يعني تعطيل اغلب مميزات ملفات الشل عن العمل والدوال اللتي يقوم المترجم بمنعها هي كالاتي:
رمز PHP:
<code style="white-space:nowrap"> <code> escapeshellarg , escapeshellcmd ,exec,passthru,proc_close,proc_open(),proc_get_sta tus,proc_nice,proc_open,,proc_terminate,shell_exec ,system
</code> </code>
وطبعا سنرى كيف يمكننا تعطيلها نهائيا عن العمل بطريقه اخرى ….طبعا يجب ان تعلم ان الحماية سلاح ذو حدين فأن قمت بتكثيفها سوف تسبب مشاكل للمواقع المستضيفه لان بعض البرامج لا تعمل الا في حاله عمل هذه الدوال لذلك يجب الاقتصاد بهذا الجانب وسنرى ايضا كيف يمككننا حل كل مشاكل التعارض بالدرس مفصل… تابع….
safe_mode_gid :
قلنا بالسابق انه في حاله تفعيل safe_mode فأن المترجم سيتأكد من مالك الملف عن طريق كل من UID و GID وعند تفعيل safe_mode_gid سيقوم النظام بالتأكد من UID فقط وسيتجاهل قيمه GID .
safe_mode_include_dir :
بهذا الخيار نقوم بتحديد مسار معين وهذا المسار سيكون متجاهلا من قبل مترجم الphp أي انه لن يقوم بعمل مقارنه للUID والGID
safe_mode_exec_dir :
بهذا الخيار يمكنك وضع مسار امن يمكن للدوال مثل system() من تشغيل البرامج حيث سيقوم المترجم بتجاهلها داخل مجلد المسار والملفات الموجوده بداخله
open_basedir:
هنا بأمكاننا اعطاء المسارات الامنه اللتي نريد السماح لملفات الـphp بالتعامل معها وهذا الخيار ليس مرتبطا بحاله safe_mod
وعموما في حاله تفعيلنا للخيار يجب السماح لملفات الـphp بالعبور للمسارات الاتية
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/lib/php
/usr/local/lib/php
/tmp
</code> </code>
بالاضافه الى مجلدات المستخم طبعا
وعموما تكون تحت المسار /home
لكني افضل استخدام هذا الخيار من الـwhm وانصح الجميع بأستخدامة من هناك لكن قمت بالتوضيح لكي يكون الشرح طريقة عام لأغلب الانظمة ولوحات التحكم
disable_functions:
هنا نقوم بتحديد الدوال اللتي نريد اغلاقها واللتي تشكل خطرا على النظام وستم ذكرها بالقسم التطبيقي من الشرح طريقة
register_globals:
عندما تكون قيمة هذا الخيار On فأنه قد يشكل خطرا كبيرا على برامج حيث يقوم بتسجيل كل المدخلات سواء كانت من البيئه او GET او POST او COOKIES كـ global variable وينصح بشده وضع الخيار بحاله off ولتفاصيل اكثر يمكنك سؤال مبرمجي الـphp
:allow_url_fopen
اغلبنا لاحظ انتشار ثغرات الـfile include واغلب الاخطاء البرمجيه تمكن المخترق من اسدعاء ملف داخلي وتكون الثغره local او محلية اي انه يمكنه اسدعاء ملف passwd لكن قمنا بتقليل خطورتها بتفعيل safe_mode لكن تبقى ثغرات الـremote ويأتي دور الداله هنا حيث تمنع ذلك مما يقلل من خطوره هذه الثغرات الى ابعد حد ولن يتمكن المخترق من سحب الشل من مواقع خارج السيرفر SERVER وسنتعلم تفعيلها للمواقع اللتي تحتاجها لتجنب حدوث التضارب مع برامج العملاء .
اخيرا وليس اخرا expose_php :
سنقوم بأعطائها قيمه off لكي لا يقوم مترجم الـphp بأرسال معلومات عن نفسه بداخل HTTP header
—————————–
بعد ان اخذنا جوله جيده على اساسيات وميكانيكيات الحماية بالـphp سنتجه الى الجانب التطبيقي وكيف يمكننا اعداد الphp لكي تعمل بأمان على سيرفر SERVERاتنا بدون ادنى جهد.
واريد ان اذكر هنا انه يجب الحذر الشديد عند التعامل مع ملفات الاعداد مثل php.ini و httpd.conf اوا اي ملف مرتبط بها حيث انها حساسه جدا واي خطأ بأدخال البيانات سوف يسبب خطأ عند اعاده تشغيل الapache لذلك يجب الانتباه .
سينقسم الشرح طريقة الى جانبين
الاول تركيب install الحماية والثاني سوف يكون عن تهيئه بيئه الphp للعملاء على السيرفر SERVER فيما يتناسب مع احتياجات برامجهم ,,, فيوجد بعض البرامج اللتي تطلب تفعيل الـregister_globals او الـsafe_mode على سبيل المثال وبالتأكيد لن نريد خساره العميل لعدم توافق بيئه السيرفر SERVER مع سكربتات موقعه ومن جانب اخر لا نريد فقدان الحماية على السيرفر SERVER اي يجب ان نبقي عى شعرة معاوية بيننا وبين العميل
اولا تركيب install الحماية :
يلزم لكل ما سبق انا نقوم بتحرير ملف php.ini على حسب احتياجاتك الخاصه (سأقوم هنا بوضع اعدادات سيرفر SERVERي) وسوف تجده بالمسار التالي
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/lib
</code> </code>
او بالمسار التالي اذا كنت تملك الـZend_optemizer على سيرفر SERVERك
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/Zend/etc/
</code> </code>
قم بتطبيق الامر التالي
nano php.ini او pico php.ini على حسب المحرر الموجود على سيرفر SERVERك
الان سنعدل على الخيارات خطوه وخطوه وافضل عمل رستارت للـapache بعد كل تعديل لكي نتمكن من تعديل الخطأ بسرعة في حاله حدوثه
1-الان قم بالبحث عن safe_mode بواسطة ctrl+w او بالبحث يدويا عنه
وقم بالتعديل عليه لكي يصبح
safe_mode = On
2- ابحث عن safe_mode_gid وتأكد من ان قيمته كالاتي
safe_mode_gid = Off
3- ابحث عن disable_functions
وهنا سوف نقوم بتعطيل الدوال الخطره + تعطيل الدوال تخطي الـsafe_mode حيث للأسف لم يقم فريق الـphp بفعل اي شيء حيال الثغرات المكتشفه على حسب علمي
عموما من الافضل ان تعطل الدوال التالية
دوال ثغره تخطي السيف مود
رمز PHP:
<code style="white-space:nowrap"> <code> copy,error_log,tempnam,curl_init
</code> </code>
دوال الـphp الخطيره
رمز PHP:
<code style="white-space:nowrap"> <code> proc_get_status,proc_nice,proc_open,proc_terminate ,shell_exec,highlight_file,escape
shellcmd,pclose,pfsockopen,chgrp,chmod,debugger_
off,debugger_on,leak,listen,define_syslog_variable s,ftp_exec,posix_
uname,posix_getpwuid,get_current_user,getmyuid,get mygid,apache_child_terminate,posix_kill,posix_mkfi fo,posix_setpgid,posix_setsid,posix_setuid
,pfsockopen,chgrp,chmod,debugger_off,debugger_on,l eak,listen,define_syslog_variables,ftp_exec
,posix_uname,posix_getpwuid,get_current_user,getmy uid,getmygid,apache_child_terminate
,posix_kill,posix_mkfifo,posix_setpgid,posix_setsi d,posix_setuid
,escapeshellarg,getservbyport,getservbyname,myshel lexec,escapeshellarg
</code> </code>
وتأكد من كتابتها على سطر واحد عند تحريرها داخل ملف php.ini والا ستسبب مشكله عند التشغيل (اكرر على سطر واحد)
4- قم بالبحث عن register_globals وتأكد من ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> register_globals = Off
</code> </code>
5- قم بالبحث عن allow_url_fopen وتأكد من ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> allow_url_fopen = Off
</code> </code>
6-قم بالبحث عن expose_php وتأكد ان قيمتها كالاتي
رمز PHP:
<code style="white-space:nowrap"> <code> expose_php = off
</code> </code>
والان قم بعمل اعادة تشغيل للـapache سواء عن طريق لوحة تحكم السيرفر SERVER او عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> httpd restart
</code> </code>
وسوف يكون المخرج كالتالي
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/sbin/httpd restart: httpd restarted
</code> </code>
وفي حالة ظهور اي خطأ سوف تكون المشكله بسبب التعديل بطريقه خاطئه فقم بمراجعة تعديلاتك
ثانيا تهيئه بيئه الـphp لكي تناسب احتياجات العملاء
الكثير من خيارات الـphp قد لا تناسب سكربتات العملاء على السيرفر SERVER ولذلك يجب تغييرها وهنا سنتعلم معا كيفيه تغييرها لكل موقع على حده بمعنى,,, لو طلب منك احد العملاء ان تفعل الـregister_globals لموقعة سوف تقوم بتفعيله لملفات موقعه فقط بدون الحاجة لتفعيلة على السيرفر SERVER بأكمل ويجدر بي هنا ان اذكر ان هنالك قيمتين لخيارات ملف php.ini واحده تكون local value وهي للموقع فقط والثانية تكون Master value وهي قيمه الخيار للسيرفر SERVER بأكمله ويمكنك معرفه كل ذلك بوضع الملف التالي في احد المواقع وطلبه عن طريق المتصفح .
رمز PHP:
<code style="white-space:nowrap"> <code> <?php
phpinfo();
?> </code> </code>
((سوف نتفق على كلمه “تخصيص” على ان تعني تعديل الخيار او تخصيصه لموقع معين))
((نقصد بالخيارات القيم الموجوده بداخل ملف php.ini كالـsafe_mode على سبيل المثال))
تنقسم الخيارات الموجوده بداخل ملف php.ini الى عده اقسام وهي:
PHP_INI_USER : ويمكننا تخصيصها من الرجستري في حاله سيرفر SERVERات الوندوز.
PHP_INI_PERDIR : ويمكننا تخصيصها بواسطة ملف .htaccess يوضع بداخل مجلد السكربت او الموقع ويمكننا التعديل عليها ايضا عن طريق ملف httpd.conf
PHP_INI_SYSTEM : ويمكننا تخصيصها عن طريق ملف httpd.conf فقط
PHP_INI_ALL : يمكننا تخصيصها عن طريق كل ما سبق
((لاحظ ان القيم الاساسيه او الـMaster value نحددها عن طريق ملف php.ini))
ويمكنك معرفه الخيار والى اي قسم ينتمي عن طريق الوصله التالية http://www.php.net/manual/en/ini.php
ويتم اعطاء القيم بشكلين مختلفين
On او Off عن طريق php_flag
اي سلسه قيم او مسار عن طريق php_value
بفرض انه بأمكانك تخصيص الخيار عن طريق ملف .htaccess
يمكنك عمل ملف .htaccess عادي في موقعك واضافه التالي الية
رمز PHP:
<code style="white-space:nowrap"> <code> php_flag register_globals on
</code> </code>
وهنا سوف يكون الـlocal value او القيمه المحلية للخيار register_globals بحالة On بالنسبه لملفات موقعك
وان كان الخيار لا يمكن تخصيصه الا من ملف httpd.conf كالـsafe_mod على سبيل المثال حيث انه يقع ضمن قسم PHP_INI_SYSTEM اللتي لا يمكن تخصيصها الا من ملف httpd.conf
فقم بالتعديل على ملف httpd.conf بالمسار
رمز PHP:
<code style="white-space:nowrap"> <code> /usr/local/apache/conf
</code> </code>
بواسطة المحرر peco او nano وابحث عن عنوان الموقع username.com
وتأكد ان كل ما تقوم بكتابته يقع ضمن نطاق اعدادات الموقع
وسوف يكون بالشكل التالي على فرض ان الموقع هو www.q82host.com (http://www.q82host.com) واسم المستخدم هو q8
<VirtualHost 74.86.142.254>
ServerAlias www.q82host.com (http://www.q82host.com)
ServerAdmin adminhttp://www.dzbatna.com/images/mail.gifq82host.com
DocumentRoot /home/q8/public_html/
BytesLog domlogs/q82host.com-bytes_log
ServerName q82host.com
<IfModule mod_php4.c>
php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
php_admin_flag register_globals on
php_admin_value disable_functions none
</IfModule>
<IfModule mod_php5.c>
php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
</IfModule>
User q82host
Group q82host
CustomLog /usr/local/apache/domlogs/q82host.com combined
ScriptAlias /cgi-bin/ /home/q82host/public_html/host/cgi-bin/
</VirtualHost>
تأكد انك تقوم بالتعديل بين كل من
رمز PHP:
<code style="white-space:nowrap"> <code> <VirtualHost 74.86.142.254>
…………………………
…………………………
………………..
</VirtualHost>
</code> </code>
وسنخصص على حسب اصداره الphp لدينا فأن كانت 4
نعدل بين
رمز PHP:
<code style="white-space:nowrap"> <code> <IfModule mod_php4.c>
…………………………….
…………………………
……………………
</IfModule>
</code> </code>
وان كنا نستخدم الاصداره الخامسة
رمز PHP:
<code style="white-space:nowrap"> <code> <IfModule mod_php5.c>
………………………….
………………………
……………………
</IfModule>
</code> </code>
ويكون التعديل كالتالي
php_admin_flag لأي قيمه On او Off
و
php_admin_value لأي سلسه من القيم او مسار ملفات
وطبعا من الممكن ان تكون القيمه none كالمثال بالاعلى
رمز PHP:
<code style="white-space:nowrap"> <code> php_admin_value disable_functions none
او php_admin_value open_basedir “/home/q82host:/usr/lib/php:/usr/local/lib/php:/tmp”
</code> </code>
وتأكد من كتابتها بنفس الطريقه الموضحة
--- انتهى ---
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
