Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Безопасность сервера

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
grafillo
Отправлено: 23 Декабря, 2014 - 15:21:31
Post Id


Посетитель


Покинул форум
Сообщений всего: 280
Дата рег-ции: Апр. 2013  


Помог: 0 раз(а)
Посоветуйте что почитать про безопасность сервера ubuntu и скриптов php. Подскажите на что в первую очередь стоит обратить внимание для безопасности скриптов и взлома, что первым делом следует сделать, закрыть какие дырки прописать какие команды?
Полезные ссылки приветствуются также приветствуется описание последовательности действий на основании своего опыта.
 
 Top
RickMan
Отправлено: 23 Декабря, 2014 - 15:33:16
Post Id


Участник


Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012  


Помог: 30 раз(а)
В плане скрипта: sql-inj, xss
В плане сервера: закрыть ненужные открытые порты, защититься от брута пароля (fail2ban), настроить правильно права доступа (не работать под рутом), часто менять пароли, закрыть доступ к mysql из вне (через любой mysql клиент можно подключааться через ssh тунель).

Ну так же можно сказать про частое обновление как самого сервера так и сторонних библиотек, которые используются в проекте.

(Отредактировано автором: 23 Декабря, 2014 - 15:33:46)

 
 Top
esterio
Отправлено: 23 Декабря, 2014 - 15:48:43
Post Id



Активный участник


Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012  
Откуда: Украина, Львов


Помог: 127 раз(а)
не гик но что знаю скажу
1. настроить iptables (белый список портов) - здесь осторожно не забутьте про SSH. сделайте запуск по крону скриптика который будет сбрасивать настройки если что-то пойдет не так
2. проверить установилься ли suhosin patch для ПХП (по дефолту должен быть в убунте)
3. статику винести на поддомен (вместе з загружаемым контентом) где не подключен ПХП
4. также рекомендуют виносить приложение за пределы document root кроме index.php
5. по возможности использовать HTTPS вместо HTTP (проверить установлена ли последняя версия OpenSSL)
6. грамотно фильтровать в приложении все данные от пользователя. не нужно всяких там
PHP:
скопировать код в буфер обмена
  1. trim(htmlspecialchars($_GET['var']));

используйте например filter_var
7. сессии только вариант с куками и флагом httpOnly.
8. использовать только prepared statement запросы
9. при виводе с базы использовать htmlspecialchars, strip_tags (что умесней). если все же нужно сохранять разметку используйте htmlpurifier
10. если используете связку php=fpm то обьязательно установите опцию
CODE (ini):
скопировать код в буфер обмена
  1. cgi.fix_pathinfo = 0

11. виставить правильно директиву open_basedir
http://php.net/manual/ru/ini.cor...ini.open-basedir
12. защищайтесь от CSRF-атак. самое простое решение добавления к форме скритого поля с токеном
13. используйте капчу против ботов

в общем читайте также официальную документацию.

не претендую на полную картину, но то что знаю тем и поделился
http://php.net/manual/ru/security.php

(Отредактировано автором: 23 Декабря, 2014 - 16:01:54)

 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Администрирование *nix »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB