[安全] 完美解决同一服务Nginx的跨站（防WEBshell）访问限制问题(亲测) Nginx, WEBshell, 访问, 解决, 服务器安全

大饼

; v# F! {! T% }% ^+ h; C
2 l! B9 o5 s  w! Q
nginx完美解决同一服务上的站点WebShell访问限制问题
6 S2 p) H. {3 q7 Y  e当时用phpspy2008测试权限，浏览等，都没有什么问题，但是没有在接近实际的环境中测试过，后来网友们反映还是经常有出现No input file specified.
3 |$ o; a! N/ z" Y" }- F0 h6 \# X后我本人又重新测试了一下，发现web服务器刚启动时正常，过了几分
+ y# K, U8 f+ `3 G) r$ ?& P  d钟以后随机性的会出现 No input file specified. 或者返回404。; i0 k+ m- J3 \7 \2 m5 i' @7 u
心情很是郁闷，加上近几天自己的网站也准备加强一下安全措施，于是干脆着手修改php的源代码解决，经过几个小时的研究，终于完美解决了这个问题，而且由于本办法是修改php来实现的，故使用范围应该不限于nginx，也可以应用到其他的web服务器上。+ H7 f5 M7 q' N5 I  Y9 Z" N9 E& F: d" f
现将修改办法公布如下，以CentOS 5.3 php 2.5.10 nginx 0.8.27为例 7 Z5 `. V$ s  T8 ]
( }) j, s' c) V2 A- k- d, ^7 N
step1: 依次执行命令.. 已下载并打过补丁的.此处可以省略跳到 step2.
- ~+ p- A( O9 B' F7 J# p& z& S1 e  ~  E0 y1 ~

1. # wget http://cn.php.net/get/php-5.2.10.tar.gz/from/this/mirror
   
2. 
   
3. # wget http://php-fpm.org/downloads/php-5.2.10-fpm-0.5.13.diff.gz
   
4. 
   
5. # tar zxvf php-5.2.10.tar.gz
   
6. 
   
7. # gzip -cd php-5.2.10-fpm-0.5.13.diff.gz | patch -d php-5.2.10 -p1 //如果你用补丁的话先打补丁再改比较妥当，我没检查过补丁有没动这个文件
   
8. 
   
9. # cd php-5.2.10/
   
10. 
    
11. # ./configure ./configure -prefix=/usr/local/php -with-config-file-path=/usr/local/php/etc -with-mysql=/usr/ -with-mysqli=/usr/bin/mysql_config -with-iconv-dir=/usr/local -with-freetype-dir -with-jpeg-dir -with-png-dir -with-zlib -with-libxml-dir=/usr -enable-xml -disable-rpath -enable-discard-path -enable-safe-mode -enable-bcmath -enable-shmop -enable-sysvsem -enable-inline-optimization -with-curl -with-curlwrappers -enable-mbregex -enable-fastcgi -enable-fpm -enable-force-cgi-redirect -enable-mbstring -with-mcrypt -with-gd -enable-gd-native-ttf -with-openssl -with-mhash -enable-pcntl -enable-sockets -with-ldap -with-ldap-sasl -with-xmlrpc -enable-zip -enable-soap

复制代码

7 S. r+ {5 W) T5 X9 W4 h5 ?# J! P0 C, L
step 2 :
: ~( G4 t; F; {. E- q4 d5 m/ \
9 d: T2 P4 B$ w/ N( _# vi main/fopen_wrappers.c
0 T  L# ]" x& Z
+ F) o- g1 i7 v' M3 A; u找到: s/ g% z) @, q/ H
/ }1 ?4 |1 c* k# y2 b( U9 G
代码:
. V( r  i- ~6 E9 {, B$ ?2 G

1. /* {{{ php_check_open_basedir
   
2. */
   
3. PHPAPI int php_check_open_basedir_ex(const char *path, int warn TSRMLS_DC)
   
4. {
   
5. /* Only check when open_basedir is available */
   
6. if (PG(open_basedir) && *PG(open_basedir)) {
   
7.   char *pathbuf;
   
8.   char *ptr;
   
9.   char *end;
   
10. 
    
11.   // 添加的内容开始 add by bbs.fjbjdd.com
    
12.   char *env_doc_root;
    
13.   if(PG(doc_root)){
    
14.    env_doc_root = estrdup(PG(doc_root));
    
15.   }
    
16.   else{
    
17.    env_doc_root = sapi_getenv("DOCUMENT_ROOT", sizeof("DOCUMENT_ROOT")-1 TSRMLS_CC);
    
18.   }
    
19.   if(env_doc_root){
    
20.    int res_root = php_check_specific_open_basedir(env_doc_root, path TSRMLS_CC);
    
21.    efree(env_doc_root);
    
22.    if (res_root == 0) {
    
23.     return 0;
    
24.    }
    
25.    if (res_root == -2) {
    
26.     errno = EPERM;
    
27.     return -1;
    
28.    }
    
29.   }  
    
30.   // 添加的内容结束 add by bbs.fjbjdd.com
    
31. 
    
32.   pathbuf = estrdup(PG(open_basedir));
    
33.   ptr = pathbuf;
    
34.   while (ptr && *ptr) {
    
35.    end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
    
36.    if (end != NULL) {
    
37.     *end = '\0';
    
38.     end++;
    
39.    }
    
40.    if (php_check_specific_open_basedir(ptr, path TSRMLS_CC) == 0) {
    
41.     efree(pathbuf);
    
42.     return 0;
    
43.    }
    
44.    ptr = end;
    
45.   }
    
46.   if (warn) {
    
47.    php_error_docref(NULL TSRMLS_CC, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));
    
48.   }
    
49.   efree(pathbuf);
    
50.   errno = EPERM; /* we deny permission to open it */
    
51.   return -1;
    
52. }
    
53. /* Nothing to check... */
    
54. return 0;
    
55. }
    
56. /* }}} */

复制代码

* u8 P' |7 x- X9 |2 J$ a
& s& ~: @( n# h2 r2 I" X; `
两个 添加的内容 中间的是修改加上去的- ?4 @, q" o; i8 t; a2 h6 R

" t1 W9 A* A, c+ ?/ _5 ~, L" A4 R( D然后保存，退出。
( ?7 x; f: P! S! I7 |
$ ^0 N5 r8 l/ m4 a; u( v1 f7 `step 3 :9 {- S) h' A- N  I% M, y

$ S# N4 Z6 q3 u% g- }) j3 g. v) |4 c5 h( N3 O! m, G9 G& N* V/ G  L

1. # make ZEND_EXTRA_LIBS='-liconv'
   
2. #make install

复制代码

+ \+ |' K  l& p. ^" c" }

$ S5 ]1 @) E% P' KOK，接下来改 php.in 的 配置
' z* o6 N) ?. M" S- A. S3 g9 g  ?" |9 Y; B
step 4 :1 C# N; i% ?8 D2 A! D- W
6 @3 h- o( ~" A# ?9 x
" M# z3 A: ?& H% }

1. #  vi /usr/local/php/etc/php.ini

复制代码

; {! [2 u. I1 v& T! J* ^+ N& O
$ O7 m$ s" O8 I
找到:
+ w6 }0 V! g7 F4 A0 V, U  q7 Fopen_basedir 的配置项5 K) m8 c& N  J: F. v
* A4 i' W2 u- v0 V; _) |

1. open_basedir = "/tmp/:/var/tmp/"

复制代码

# @2 j, ~; L3 s& c6 [& F2 P: a& u
/ G5 M  K. O& e9 t! f5 Knginx的配置无须做任何变动（无须添加 ../../../../../ 等繁琐的东西），完美限制在网站的根目录上，无法访问其他同一服务器上网站的文件。
" b* r. E& y7 q3 [' ~: z, u$ @# O# Q9 M7 }1 ]. b* a, P5 g5 m
另外出现 no input files 绝不是网上某人说的原因。
6 k  r. U6 ~$ Z8 U) V' g' s8 X" Q  w2 P- O1 n
引用:1 {# v; }* X) g! w
7 h% t) K9 f% i8 U
nginx在80端口接受到访问请求后，会把请求转发给9000端口的php-cgi进行处理4 s: a6 ^" K4 s' [6 ~2 H
而如果修改php.ini中open_basedir= ../../../../../ ，针对两个不同的网站，www.a.com , www.b.com 都会把请求发送给9000处理，而如果先访问www.a.com那么../../../../../ 就会变成A网站的根目录地址，然后这时候如果你访问www.b.com ，那么open_basedir仍然是A网站的根目录，但是对于B来说，又是不允许访问的，所以就造成了，第二个站点打开以后会出现no input files
- Z  E( _  X5 U! Y" I9 T, D) k代码清楚的表明 open_basedir 每次请求都是重新计算路径的，会出现所说的问题，是因为php执行的时候经常会改变当前路径，造成最后 ../../../../../ 以后路径不对，而不是请求一次open_basedir就固定了。
0 w1 t4 U$ k* c" t
; C3 l" s# Z' P8 y, Q. T) H* ]本人亲自测试并成功再加以更改此文. 谢谢各位赏脸观看. 本站测试的环境版本:
3 ~$ a' K- ~5 B+ G1 w1 e3 l4 z( U& j0 G# e' a9 v
CentOS 5.4 php 2.5.14 nginx 0.7.67
. j5 ?2 i' |. `4 }! `( w9 k9 q; j) K
参考: http://haply.info/?p=391
3 R3 f, O" d- U1 x7 F6 M! t: U6 }% o+ Y: {
本文相关文件下载链接:
( t% \" c0 W+ c8 a; \0 B! T% v  e0 o: H

本帖隐藏的内容需要回复才可以浏览