[جديد !] حماية php.ini وشرح خصائص الخيارات
السلام عليكم ورحمة الله , اسعد الله اوقاتكم بكل خير ادارة السيرفرات وحمايتها مهمة بلاشك لاي شخص يمتلك سيرفر منتدى او اي شيء كان باذن الله هذا شرح بسيط لحماية الـ php على السيرفر وطلعا حماية php تعطي قوة عالية بتامين السيرفر خصوصا ضد الشلات نبدا على بركة الله. الدخول للشل بالشكل الاعتيادي عن طريف استخدام برنامج putty مثلا : بعدها الدخول للملف php.ini من هذا المسار تطبقه بالشل كود:
nano /usr/local/lib/php.ini عن : كود:
safe_mode اجعلها On بهذا الشكل يعني safe_mode = On ملاحظ: هذا الخيار تفعله اذا كان اصدارك الــ PHP اقل من اصدار 5.3 , علما تم ازالته في الاصدار 5.4 واعلى طيب شرح عن السيف مود يحاول توجيه الوضع الآمن حل العديد من المشاكل التي تحدث في بيئة استضافة مشتركة عند استخدام PHP. يقارن UID (PHP) الخاص ببرنامج PHP النصي مع UIDs للملفات والدلائل التي يحاول الوصول إليها. إذا لم تتطابق معرفات UID ، فإن النظام لا يسمح للبرنامج النصي بالوصول إلى الملف أو الدليل المطلوب. طيب انتهينا من السيف مود نوتجه للامور الاخرى عن طرق البحث عن : كود:
register_globals register_globals = On اجعلها register_globals = Off ملاحظ: هذا الخيار تفعله اذا كان اصدارك الــ PHP اقل من اصدار 5.3 , علما تم ازالته في الاصدار 5.4 واعلى طيب شرح عن register_globals عند تمكين توجيه register_globals ، قد يكتسب المهاجمون القدرة على تجاوز متغيرات التكوين من خلال عنوان URL. ننتقل للتعديل الاخر وهو تعطيل الدوال طبعا تعطيل الدوال يختلف من سيرفر لاخر السبب لئنه لكل سيرفر عليه سكربتات اخرة مثلا ورد بريس والسيرفر الاخر فيبوليتن وهكذا راح يكون في اختلاف بتعطيل الدوال لذلك راح اضع لكم دوال قليلة والاهم في حال حدثت مساكل بسبب الدالة يمكنك الرجوع للملف وحذفها نبحث عن : كود:
disable_functions كود:
symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,posix_getgid,posix_getgrgid,dl,exec,pclose,proc_nice,proc_terminate,proc_get_status,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,hypot,pg_host,pos,posix_access,posix_getcwd,posix_getservbyname,myshellexec,getpid,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mknod,posix_setgid,posix_setsid,posix_setuid,posix_times,posix_uname,ps_fill,posix_getpwuid,global,ini_restore,zip_open,zip_read,rar_open,bzopen,bzread,bzwrite,apache_get_modules,apache_get_version,phpversionphpinfo,php_ini_scanned_files,get_current_user,error_log,disk_total_space,diskfreespace,leak,imap_list,hypo,filedump,gethostbyname,safe_mode,ob_clean,getmygid,php_uname,apache_getenv,apache_setenv,bzread,bzwrite,posix_access,bzopen,phpini,highlight_file,show_source,sscanf,dos_conv,get_current_user,get_cwd,error_log,dir,cmd,e_name,vdir,get_dir,only_read,copy,ini_set,getmicrotime,float,shver,c99sh_surl,timelimit,surl_autofill_include,base64_decode,gzinflate,encode64,ln تعطيل لوظائف PHP التي تسمح للنظام بتنفيذ العمليات الفرعية , لأن العمليات الفرعية تعمل خارج قيود أمان PHP أخرى الان نبحث عن : كود:
display_errors display_errors = On غيرها الى Off بتصير يعني بهذا الشكل display_errors = Off اهمية تعطيلها ماراح يقدر يطبع لك الاخطاء في صفحات HTML يعني مثلا رفعت سكربت والسكربت كان في خطا راح يظهر لك صفحة بيضاء لما تدخل على المسار من المتصفح اما كيف تعرف تحل الخطا بوم تعطلها ؟ لاتخاف السيرفر راح يحفظ لك الاخطاء في سجلات الاخطاء. الان نبحث ايضا عن : كود:
allow_url_fopen allow_url_fopen = On اجعلها allow_url_fopen = Off اهمية التعطيل ؟ تعطيل هذا التوجيه لرفض المهاجمين القدرة على فتح الملفات عن بعد من الخادم الخاص بك من خلال نقاط الضعف إدراج الملف. ابحث عن : كود:
allow_url_include allow_url_include = On اجعلها allow_url_include = Off اهمية التعطيل ؟ نفس ما ذكر بالاعلى لمنع فتح الملفات عن بعد نبحث عن : كود:
file_uploads file_uploads = On اجعلها file_uploads = Off ملاجظ: لو لديك مثلا سكربت رفع او حتى منتدى او اي شي يتم الرفع من خلاله ملفات او صور راح يظهر رسالة بقلك الخادم غير قادر على رفع الملف لذلك هذه الخيار تغلقه على حسب استخدامك للسيرفر ابحث عن : كود:
open_basedir ~/public_html يعني على هذا الشكل كود:
open_basedir = ~/public_html اهمية هذا الخيار يسمح لك هذا التوجيه بتحديد عمليات الملف إلى دليل معين. كثيرًا ما يحاول المهاجمون العثور على طرق لتضمين الملفات المحلية في النصوص البرمجية PHP للحصول على معلومات حول نظام ملفات الخادم. إذا كان نظامك يعمل على EasyApache 4 ، قم بتغيير هذا التوجيه في WHM >> Home >> Software >> MultiPHP INI Editor الان ماباقي لنا الا القليل ابحث عن : كود:
session.cookie_httponly الفائدة؟ لرفض جافا سكريبت إمكانية الوصول إلى ملفات تعريف ارتباط جلسة PHP. يضمن ذلك عدم تمكن المهاجمين من سرقة ملفات تعريف ارتباط الجلسة هام ! إذا كان المستخدمون يستخدمون ملفات تعريف ارتباط جلسة PHP من خلال JavaScript ، فقد يمنع النظام استخدامك لهذا التوجيه واخر شي لتعديله في هذا الملف هو " : كود:
session.referer_check الفايدة من تفعليه : يمنع اي مخترق من اتباع الارتباطات وسرقة محتوى الجلسة يعني باختصار انتا سمحت للـ PHP للتحق من HTTP وبالنهاية هذا ما املكه لطرحه اسال الله ان يكون به خير للجميع وان يكون طرحي واضح وسهل على الجميع وخالي من الاخطاء. الشرح حصري لشبكة تطوير سكيورتي ومعهد هيلبرنت كود:
https://www.t6wer-security.com/cc/ |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
شرح في غاية الروعة
شكرا جزيلا لكك أخي أفدتنا كثيرا |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اقتباس:
ربي يسعدك |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
يعطيك العافية
والحمد لله انك عرفت تطرح الموضوع لان الاستضافة بتمنع المواضيع دى يعنى بعد ما تكتب الموضوع وتضغط زر اعتماد المشاركة تظهر لك صفحة تبليغ امنى (احدى عيوب الاستضافة المشتركة) |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اقتباس:
نعم كنت خايف منها اذكر ظهرت لي من فترة ولاكن الحمدالله ماصارت مشاكل بالطرح |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
جميل جدا
كنت بعمل كوبي بيست وما اعرف ليش ولماذا يجب عملها، الان فهمت شكرا لشرحك وبارك الله بيك بالفعل كما حضرتك قلت عن الدوال بأنه لو يتعارض يجب مسح الداله فبعد تجربتي للدوال ظهرت مشكلة في سكربت الزين فورو ٢.١.٢ وهو لا يتوافق مع الدالتين copy, ini_set فقمت بمسحهما والان شغال بدون هذه الدالتين سلمت يمينك وياريت لو تنزل مواضيع حماية اكون شاكر لحضرتك جدا جدا جدا تحيتي |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اقتباس:
عندي سوال استاذي الكريم هناك بعض الدوال مكررة , مالفائدة منها ؟ مثل exec dl error_log لاني مسحت المكرر وخليت فقط الغير مكرر . هل هذا صحيح ؟ ايضا ما رايك في هذه الدوال لاني ضايفها الى الدوال اللي حضرتك كاتبها ( انا اسال لاني لا اعرف 99 بالمية منها ) كود:
pro_get_status,openlog,syslog,ftp_exec,posix_getpwnam,chgrp,apache_note,closelog,debugger_off,debugger_on,virtual,pcntl_exec,shellexec,define_syslog_variables,hw_root,allow_url_fopen,ps_aux,chown,getrsage,posixc,posame,mysql_list_dbs,glob,ini_get_all,fileowner,popens,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,get_cfg_var,getservbyname,inject_code,ftp_rawlist,ftp_raw,ftp_nb_fput,ftp_put,ftp_get,ftp_login,ftp_nnect,parse_ini_file,escape,shellcmd,chgrp,debugger_off,debugger_on,listen,getmyuid,getservbyport,getservbyname, اسف جدا لازعاجك ولكن لم اجد لها جواب تحيتي |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اعتذر منكم لرفعي للموضوع ولكن مع الزين فورو النسخه 2.1.2 تظهر مشكلة وهي عند تسجيل عضو جديد لا يتم ارسال الايمييل لتفعيل العضوية
وعند البحث عن حل المشكلة وجدت بانه يجب ازالة هذه الدوال كود:
proc_close وبعد ازالتها واعادة تشغيل السيرفر سوف يعمل المنتدى بشكل طبيعي ان شاء الله تحيتي لكم |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اقتباس:
عموما بخصوص الدوال المكررة بكل تاكيد حذفها افضل بخصوص الدوال الممنوعة هي عند طلب المخترق شي على السيرفر تمر بفلترة مجرد طلب شي مقفول من الدوال يظهر له خطا بخصوص الزين فورو نعم راح يخبرك بالدوال الي لازم تسمح بها. طبعا لا مشكلة في فتحها المهم هو حماية السيرفر بشكل متكامل وليس فقط دوال واهم شي التحديثات المسترة لبرمجيات السيرفر. |
رد: [جديد !] حماية php.ini وشرح خصائص الخيارات
اقتباس:
ولا يوجد داعي للاعتذار تم بالفعل عمل الي قلت عليه والحمد لله بفضل الله ثم بفضل شروحاتكم اساتذتي الكرام تم عمل اللازم والحمد لله الى الان لا يوجد مشاكل في سيرفر تقبل تحيتي |
الساعة الآن 06:03 AM |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. TranZ By
Almuhajir