The openbasedir ตั้งไดเรกทอรีที่ PHP ได้รับอนุญาตให้เข้าถึงไฟล์โดยใช้ฟังก์ชั่นเช่น fopen () และอื่น ๆถ้าแฟ้มอยู่นอกเส้นทางที่กำหนดโดย openbasdir, PHP จะปฏิเสธที่จะเปิดมันคุณไม่สามารถใช้การเชื่อมโยงสัญลักษณ์เป็นวิธีแก้ปัญหาตัวอย่างเช่นเพียง แต่ช่วยให้การเข้าถึง / var / www / html ไดเรกทอรีและไม่ / var / www หรือ tmp / หรือไดเรกทอรี / ฯลฯ สนับสนุนเซสชันใน PHP ประกอบด้วยวิธีการเก็บข้อมูลบางอย่างทั่วเข้าถึงที่ตามมานี้ช่วยให้คุณสร้างโปรแกรมประยุกต์ที่กำหนดเองมากขึ้นและเพิ่มอุทธรณ์ของเว็บไซต์ของคุณเส้นทางนี้จะกำหนดไว้ในแฟ้ม /etc/php. ini และข้อมูลทั้งหมดที่เกี่ยวข้องกับเซสชั่นโดยเฉพาะอย่างยิ่งจะถูกเก็บไว้ในแฟ้มในไดเรกทอรีที่ระบุโดยตัวเลือก session. savepathเริ่มต้นดังต่อไปนี้ภายใต้ RHEL / CentOS / Fedora Linux: การประยุกต์ใช้ซอฟต์แวร์รักษาความปลอดภัยเป็นส่วนสำคัญของการรักษา Linux, Apache, PHP, MySQL และเซิร์ฟเวอร์การปรับปรุงความปลอดภัยทุก PHP ควรมีการทบทวนและนำไปใช้โดยเร็วที่สุดเท่าที่เป็นไปได้โดยใช้คนใดคนหนึ่งของเครื่องมือดังต่อไปนี้ (ถ้าคุณกำลังติดตั้ง PHP ผ่านผู้จัดการแพคเกจ): คำสั่ง titleyum: การปรับปรุง / ติดตั้งแพคเกจภายใต้ Redhat องค์กร / CentOS Linux เวอร์ชั่น 5.x hrefcyberciti. biz / คำถามที่พบบ่อย / RHEL-CentOS-ฟาง-ลินุกซ์-yum-คำสั่ง HOWTO / ปรับปรุง yum / aOR hrefcyberciti. biz/tips/linux-debian-package-management-cheat-sheet. html titleDebian ลินุกซ์ apt-get จัดการแพคเกจโกง sheetapt-ได้รับการปรับปรุง apt-get อัพเกรด / A คุณสามารถกำหนดค่าหมวกแดง / CentOS / Linux Fedora จะส่งแพคเกจ yum ปรับปรุงการแจ้งเตือนผ่านทางอีเมล์อีกตัวเลือกหนึ่งคือการใช้การปรับปรุงความปลอดภัยทั้งหมดผ่านงาน cronภายใต้ Debian / Ubuntu Linux คุณสามารถใช้ apticron ส่งรักษาความปลอดภัย notifications. Make แน่ใจว่าคุณเรียกใช้ Apache เป็นผู้ใช้ที่ไม่ใช่รากเช่น Apache หรือแฟ้มและไดเรกทอรีที่ควรจะเป็นของผู้ใช้ที่ไม่ใช่ราก (หรือผู้ใช้ของ Apache) ภายใต้ / var /www / html ก hrefcyberciti. biz/faq/how-to-use-chmod-and-chown-command/chown - R Apache: Apache / var / www / html // บาร์ / var / www / html / เป็นไดเรกทอรีย่อยและ DocumentRoot ซึ่งเป็นแก้ไขโดยผู้ใช้อื่น ๆ ตั้งแต่รากไม่เคยรันไฟล์ใด ๆ ออกจากที่นั่นและไม่ควรจะสร้างไฟล์ใน there. Make แน่ใจว่าสิทธิ์ของแฟ้มมีการกำหนดให้ 0444 (อ่านอย่างเดียว) ภายใต้ / var / www / html /: chmod - R 0444 / var / www / html / ให้สิทธิ์แน่ใจว่าไดเรกทอรีทั้งหมดมีการกำหนดให้ 0445 ภายใต้ / var / www / html / ก hrefcyberciti. biz/tips/linux-findinglocating-files-with-find-command-part-1htmlfind / var / www / html / ประเภท d - print0 xargs -0 - I chmod 0445 / athe chown และ chmod คำสั่งให้ยังคงใช้มาตรการว่าภายใต้สถานการณ์ที่ไม่มี DocumentRoot หรือไฟล์ที่มีอยู่ใน DocumentRoot มีความสามารถเขียนได้โดย Apache เว็บเซิร์ฟเวอร์ผู้ใช้โปรดทราบว่าคุณจำเป็นต้องตั้งค่าสิทธิ์ที่เหมาะสมที่สุดสำหรับการพัฒนารูปแบบของเว็บไซต์ของคุณดังนั้นรู้สึกฟรีเพื่อปรับ chown และ chmod คำสั่งตามความต้องการของคุณในตัวอย่างนี้เซิร์ฟเวอร์ Apache ทำงานเป็นผู้ใช้ของ Apacheนี้มีการกำหนดค่ากับคำสั่งของผู้ใช้และกลุ่มในไฟล์ httpd. conf ของคุณผู้ใช้ Apache ความต้องการที่จะได้อ่านเข้าถึงทุกอย่างภายใต้ DocumentRoot แต่ไม่ควรจะมีการเขียนการเข้าถึง anything. You ควรให้สิทธิ์การเข้าถึงเขียนเมื่อจำเป็นบางโปรแกรมเว็บเช่น WordPress และอื่น ๆ อาจต้องไดเรกทอรีแคชคุณสามารถให้การเขียนการเข้าถึงไดเรกทอรีแคชใช้คำสั่งต่อไปนี้: chmod อั / var / www / html / บล็อก / wp-content / cachebr / บล็อกการเข้าถึงทั้งหมด br / ก้องปฏิเสธจากทั้งหมด / var / www / html / บล็อก /wp-content / แคช /.htaccessLinux มาพร้อมกับแพทช์รักษาความปลอดภัยต่างๆที่สามารถนำมาใช้เพื่อป้องกันการผิดพลาดหรือถูกบุกรุกโปรแกรมเซิร์ฟเวอร์ถ้าเป็นไปได้ใช้ SELinux และส่วนขยายการรักษาความปลอดภัยอื่น ๆ ลินุกซ์ในการบังคับใช้ข้อ จำกัด ในเครือข่ายและโปรแกรมอื่น ๆยกตัวอย่างเช่น SELinux ให้ความหลากหลายของนโยบายการรักษาความปลอดภัยสำหรับลินุกซ์และเว็บเซิร์ฟเวอร์ Apacheรายการทั้งหมด Apache SELinux ตัวแปรป้องกันป้อน: getsebool - a grep httpdSample เอาท์พุท: วาง PHP และ / หรือ Apache ในคุก chroot ช่วยลดความเสียหายที่กระทำโดยมีศักยภาพในการทำลายโดยการแยกเว็บเซิร์ฟเวอร์ไปยังส่วนเล็ก ๆ ของระบบแฟ้มคุณสามารถใช้ชนิด chroot แบบดั้งเดิมของการติดตั้งกับ Apacheแต่ผมขอแนะนำคุก FreeBSD, XEN virtulization, KVM virtulization หรือ virtualization OpenVZ ซึ่งใช้แนวคิดของการโจมตี containers. The จะดาวน์โหลดไฟล์ไว้บนเว็บเซิร์ฟเวอร์ของคุณโดยใช้เครื่องมือเช่น wgetใช้ iptables เพื่อป้องกันการเชื่อมต่อขาออกจากผู้ใช้ของ Apacheโมดูล iptowner พยายามที่จะตรงกับลักษณะที่แตกต่างกันของผู้สร้างแพ็คเก็ตแพ็คเก็ตที่สร้างขึ้นในประเทศมันเป็นเพียงที่ถูกต้องในห่วงโซ่เอาพุ