在 CentOS 7.x / Fedora 21 上面体验 PHP 7.0

澳门新葡亰网址 1
  • 为了改善执行效率与内存占用,新的版本添加了PHPNG功能。
  • 引入了JIT引擎来动态编译Zend操作码为自然机器码,以此来达到更快的处理性能。这项功能允许随后的程序调用同一份代码,这样会运行快很多。
  • AST(抽象语法树)是最新添加的功能,它可以增强支持PHP的扩展性和用户应用。
  • 添加异步编程功能以支持同一个请求中的并行任务。
  • 新的版本会支持独立的多线程网页服务器,这样可以使用一个单独的存储池处理很多并发的请求。

  用于下文的PHP设置样例

澳门新葡亰网址 1

  #25:把服务分离到不同的服务器或虚拟机

在下一代主要PHP版本里有一些不错的功能:

  #21:安装Mod_security

总结

PHP
7也添加到了remi仓库,这个即将到来的版本主要关注执行效率的提升,它的新特性致力于使PHP较好满足现代编程的需求和趋势。PHP
7.0将会有许多新的特性、丢弃一些老版本的东西。在接下来的日子里,我们希望看到新特性和弃用功能的具体情况。希望你喜欢!

  #14:PHP用户与用户组ID

PHP是一种为我们熟知的通用服务器网页脚本语言。非常多的在线网站都是用PHP编写的。PHP这些年来一直在持续进化,丰富其功能,变得易于使用,更好地组织的脚本语言。目前PHP的开发团队正筹备下一个PHP版本的发行,名字是PHP
7。现在的PHP版本为PHP 5.6,可能你清楚PHP 6已经流产了,PHP
7的支持者们不希望下一个重要的版本被其他分支混淆,即过去已经停止很久的PHP
6。所以决定下一个PHP主要的发行版本叫PHP 7,而不是PHP 6。PHP
7.0预计在今年十一月份发行。

# rm /etc/php.d/sqlite3.ini

在CentOS/Fedora上安装PHP 7

让我们来看看怎样在CentOS 7和Fedora
21安装PHP7。为了安装PHP7,我们首先需要克隆php-src
仓库。当克隆工作完成,我们再配置和编译它。进行下一步之前,我们要确保已经在LInux系统下安装了如下的组件,否则PHP编译会返回错误中止。

  • Git
  • autoconf
  • gcc
  • bison

所有上面提到的要求可以使用Yum软件包管理器安装。以下一条命令即可完成:

yum install git autoconf gcc bison

准备好开始安装PHP7了吗?让我们先创建一个PHP7目录,作为你的当前工作目录。

mkdir php7
cd php7

现在克隆php-src仓库,在终端里运行下面的命令。

git clone https://git.php.net/repository/php-src.git

工作应该会在几分钟后完成,这里是一个样例输出,你应该会在任务完成时看见。

[root@localhost php7]# git clone https://git.php.net/repository/php-src.git
Cloning into 'php-src'...
remote: Counting objects: 615064, done.
remote: Compressing objects: 100% (127800/127800), done.
remote: Total 615064 (delta 492063), reused 608718 (delta 485944)
Receiving objects: 100% (615064/615064), 152.32 MiB | 16.97 MiB/s, done.
Resolving deltas: 100% (492063/492063), done.

让我们来配置,编译PHP7,在终端运行下面的命令,开始配置工作:

cd php-src
./buildconf

下面是./buildconf命令的样例输出。

[root@localhost php-src]# ./buildconf
buildconf: checking installation...
buildconf: autoconf version 2.69 (ok)
rebuilding aclocal.m4
rebuilding configure
rebuilding main/php_config.h.in

使用下面的命令,继续配置进程:

./configure /
--prefix=$HOME/php7/usr /
--with-config-file-path=$HOME/php7/usr/etc /
--enable-mbstring /
--enable-zip /
--enable-bcmath /
--enable-pcntl /
--enable-ftp /
--enable-exif /
--enable-calendar /
--enable-sysvmsg /
--enable-sysvsem /
--enable-sysvshm /
--enable-wddx /
--with-curl /
--with-mcrypt /
--with-iconv /
--with-gmp /
--with-pspell /
--with-gd /
--with-jpeg-dir=/usr /
--with-png-dir=/usr /
--with-zlib-dir=/usr /
--with-xpm-dir=/usr /
--with-freetype-dir=/usr /
--with-t1lib=/usr /
--enable-gd-native-ttf /
--enable-gd-jis-conv /
--with-openssl /
--with-mysql=/usr /
--with-pdo-mysql=/usr /
--with-gettext=/usr /
--with-zlib=/usr /
--with-bz2=/usr /
--with-recode=/usr /
--with-mysqli=/usr/bin/mysql_config

这会花去不少的时间,当完成后你应该会看到如下面的输出:

creating libtool
appending configuration tag "CXX" to libtool
Generating files
configure: creating ./config.status
creating main/internal_functions.c
creating main/internal_functions_cli.c
+--------------------------------------------------------------------+
| License:                                                           |
| This software is subject to the PHP License, available in this     |
| distribution in the file LICENSE.  By continuing this installation |
| process, you are bound by the terms of this license agreement.     |
| If you do not agree with the terms of this license, you must abort |
| the installation process at this point.                            |
+--------------------------------------------------------------------+

Thank you for using PHP.

config.status: creating php7.spec
config.status: creating main/build-defs.h
config.status: creating scripts/phpize
config.status: creating scripts/man1/phpize.1
config.status: creating scripts/php-config
config.status: creating scripts/man1/php-config.1
config.status: creating sapi/cli/php.1
config.status: creating sapi/cgi/php-cgi.1
config.status: creating ext/phar/phar.1
config.status: creating ext/phar/phar.phar.1
config.status: creating main/php_config.h
config.status: executing default commands

运行下面的命令,完成编译过程。

make

“make”命令的样例输出如下所示:

Generating phar.php
Generating phar.phar
PEAR package PHP_Archive not installed: generated phar will require PHP's phar extension be enabled.
clicommand.inc
directorytreeiterator.inc
directorygraphiterator.inc
pharcommand.inc
invertedregexiterator.inc
phar.inc

Build complete.
Don't forget to run 'make test'.

活儿干完了,该安装PHP7了,运行下面的命令安装它。

make install

成功安装的进程的样例输出应该像这样:

[root@localhost php-src]# make install
Installing shared extensions:     /root/php7/usr/lib/php/extensions/no-debug-non-zts-20141001/
Installing PHP CLI binary:        /root/php7/usr/bin/
Installing PHP CLI man page:      /root/php7/usr/php/man/man1/
Installing PHP CGI binary:        /root/php7/usr/bin/
Installing PHP CGI man page:      /root/php7/usr/php/man/man1/
Installing build environment:     /root/php7/usr/lib/php/build/
Installing header files:          /root/php7/usr/include/php/
Installing helper programs:       /root/php7/usr/bin/
program: phpize
program: php-config
Installing man pages:             /root/php7/usr/php/man/man1/
page: phpize.1
page: php-config.1
Installing PEAR environment:      /root/php7/usr/lib/php/
[PEAR] Archive_Tar    - installed: 1.3.13
[PEAR] Console_Getopt - installed: 1.3.1
[PEAR] Structures_Graph- installed: 1.0.4
[PEAR] XML_Util       - installed: 1.2.3
[PEAR] PEAR           - installed: 1.9.5
Wrote PEAR system config file at: /root/php7/usr/etc/pear.conf
You may want to add: /root/php7/usr/lib/php to your php.ini include_path
/root/php7/php-src/build/shtool install -c ext/phar/phar.phar /root/php7/usr/bin
ln -s -f /root/php7/usr/bin/phar.phar /root/php7/usr/bin/phar
Installing PDO headers:          /root/php7/usr/include/php/ext/pdo/

恭喜你,PHP7已经安装在你的Linux系统上了。安装完后,进入PHP7安装文件里的sapi/cli里面。

cd sapi/cli

验证一下PHP的版本。

[root@localhost cli]# ./php -v
PHP 7.0.0-dev (cli) (built: Mar 28 2015 00:54:11)
Copyright (c) 1997-2015 The PHP Group
Zend Engine v3.0.0-dev, Copyright (c) 1998-2015 Zend Technologies

  可以通过取消export_php,对PHP信息泄漏进行限制。编辑/etc/php.d/security.ini如下:

  如下修改/etc/php.d/security.ini:

  #22:如有可能,在Chroot Jail下运行Apache / PHP

  PHP
Session用户提供数据保存功能,以便后续访问。这可以使应用可定制性更强,提升吸引力。所有Session相关的数据会被保存在session.save_path中。RHEL/CentOS/Fedora
Linux的默认设置如下:

  当此特性被启用,mysql_connect()和mysql_pconnect()会忽略传入的所有参数。与此同时,你需要在代码上做些相应的修改。第三方以及开源应用,如Wordpress,在sql.safe_mode下可能无法正常工作。同时建议关闭5.3.x版本的PHP的magic_quotes_gpc过滤,因为它简单粗暴又没效率。使用mysql_escape_string()以及自定义的过滤函数会更好一些

  设置该目录下的所有文件夹权限为0445

# setsebool -P httpd_enable_cgi off

  #12:取消危险的PHP函数

  open_basedir会限制PHP的运行目录,例如通过fopen()之类的函数可访问的目录。如果访问的目录不在open_basedir之内,PHP会拒绝该访问。不要使用软链接作为工作区。例如,只允许访问/var/www/html而非/var/www、/tmp或/etc目录:

# getsebool -a | grep httpd
disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

  查看Apache日志文件:

; 在这里设置一个靠谱的数值
 post_max_size=1K
 phpcgi      6012  0.0  0.4 225036 60140          S    Nov22   0:12 /usr/bin/php-cgi
 phpcgi      6054  0.0  0.5 229928 62820          S    Nov22   0:11 /usr/bin/php-cgi
 phpcgi      6055  0.1  0.4 224944 53260          S    Nov22   0:18 /usr/bin/php-cgi
 phpcgi      6085  0.0  0.4 224680 56948          S    Nov22   0:11 /usr/bin/php-cgi
 phpcgi      6103  0.0  0.4 224564 57956          S    Nov22   0:11 /usr/bin/php-cgi
 phpcgi      6815  0.4  0.5 228556 61220          S    00:52   0:19 /usr/bin/php-cgi
 phpcgi      6821  0.3  0.5 228008 61252          S    00:55   0:12 /usr/bin/php-cgi

澳门新葡亰网址,  #3:防止PHP信息泄漏

  #24:查看并审查日志

 # tail -f /var/log/httpd/php_scripts_error.log
 # grep "...etc/passwd" /var/log/httpd/php_scripts_error.log

  攻击者会使用wget之类的工具从你的Web服务器下载文件。使用iptables来阻挡Apache用户的传出连接。ipt_owner模块会为本地数据包的生成者分配不同角色。它只对OUTPUT
chain有效。下面指令允许vivek用户通过80端口进行外部访问:

allow_url_fopen=Off

  #17:保证PHP,软件及操作系统更新到最新

## A few Examples ##
 # Do not allow to open files in /etc/
 SecFilter /etc/

 # Stop SQL injection
 SecFilter "delete[[:space:]]+from"
 SecFilter "select.+from"
session.save_path="/var/lib/php/session"
 ; Set the temporary directory used for storing files when doing file upload
 upload_tmp_dir="/var/lib/php/session"

  更多信息请查看:how to compile and reinstall php on Unix like
operating system

  可以通过spawn-fcgi来生成phpcgi用户的远程或本地FastCGI进程(前提是有这个用户):

# apt-get update && apt-get upgrade

  #16:Session路径

  #7:关闭远程代码执行

max_execution_time = 30
max_input_time = 30
memory_limit = 40M

  注:ls
-Z会显示SELinux的安全信息,如文件模式,user,group,安全信息,文件名等。

file_uploads=Off

  查看PHP日志文件:

  • XSS:对PHP的Web应用而言,跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache,或是写更安全的PHP代码(验证所有用户输入)来防范XSS攻击
  • SQL注入:这是PHP应用中,数据库层的易受攻击点。防范方式同上。常用的方法是,使用mysql_real_escape_string()对参数进行转义,而后进行SQL查询。
  • 文件上传:它可以让访问者在服务器上放置(即上传)文件。这会造成例如,删除服务器文件、数据库,获取用户信息等一系列问题。你可以使用PHP来禁止文件上传,或编写更安全的代码(如检验用户输入,只允许上传png、gif这些图片格式)
  • 包含本地与远程文件:攻击者可以使远程服务器打开文件,运行任何PHP代码,然后上传或删除文件,安装后门。可以通过取消远程文件执行的设置来防范
  • eval():这个函数可以使一段字符串如同PHP代码一样执行。它通常被攻击者用于在服务器上隐藏代码和工具。通过配置PHP,取消eval()函数调用来实现
  • Sea-surt Attack(Cross-site request
    forgery,CSRF。跨站请求伪造):这种攻击会使终端用户在当前账号下执行非指定行为。这会危害终端用户的数据与操作安全。如果目标终端用户的账号用于管理员权限,整个Web应用都会收到威胁。
# chmod -R 0444 /var/www/html/
# spawn-fcgi -a 127.0.0.1 -p 9000 -u phpcgi -g phpcgi -f /usr/bin/php-cgi

  确认这个路径在/var/www/html之外,且不可被其他系统用户访问:

 # tail -f /var/log/httpd/error_log
 # grep 'login.php' /var/log/httpd/error_log
 # egrep -i "denied|error|warn" /var/log/httpd/error_log
PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41)
 Copyright (c) 1997-2010 The PHP Group
 Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies

  样例输出

  从性能与安全性的角度考虑,我建议使用PHP时减少不必要的模块。例如上面的sqlite3是不必要的。那么可以通过删除或重命名/etc/php.d/sqlite3.ini文件来取消它:

# ps aux | grep php-cgi

  HTTP POST通常作为请求的一部分,被客户端用于向Apache
Web服务器发送数据,如上传文件或提交表单。攻击者会尝试发送超大的POST请求去消耗服务器的资源。如下编辑/etc/php.d/security.ini限制POST的最大大小:

$ cat /etc/redhat-release
# find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}
///////////////
 / ISP/Router /
 //////////////
   
    |
    Firewall
      
       |
      +------------+
      | LB01       |
      +------------+                 +--------------------------+
                   |                 | static.lan.cyberciti.biz |
                   +-----------------+--------------------------+
                                     | phpcgi1.lan.cyberciti.biz|
                                     +--------------------------+
                                     | phpcgi2.lan.cyberciti.biz|
                                     +--------------------------+
                                     | mysql1.lan.cyberciti.biz |
                                     +--------------------------+
                                     | mcache1.lan.cyberciti.biz|
                                     +--------------------------+

  执行下面指令可以查看当前PHP所编译的模块

$ php -v

  #13:PHP Fastcgi / CGI – cgi.force_redirect管理

  对于比较庞大的安装配置,建议把运行、数据库、静态与动态内容分离到不同的服务器

file_uploads=On
# user can only upload upto 1MB via php
upload_max_filesize=1M

  确认以Apache或www这种非root用户运行Apache。/var/www/html目录下的owner也应是非root用户:

; Enable cgi.force_redirect for security reasons in a typical *Apache+PHP-CGI/FastCGI* setup
 cgi.force_redirect=On

  在不同的服务器或虚拟机下运行不同的网络服务,这可以减少被入侵对其他服务的影响。例如,一个攻击者入侵了Apache,那就可以访问同一服务器下的其他服务(如MySQL,email服务等)。但在上述例子中则不会:

# mv gd.{disable,ini}
 # /sbin/service httpd restart

  有些模块则只能通过使用重新编译安装PHP来移除。例如,从php.net下载PHP源码后,使用下面指令编译GD,fastcgi和MySQL支持:

  基于PHP的应用面临着各种各样的攻击:

  #10:资源控制(DoS控制)

  • DocumentRoot:/var/www/html
  • 默认Web服务:Apache(可以使用Lighttpd或Nginx代替)
  • 默认PHP配置文件:/etc/php.ini
  • 默认PHP Extensions配置目录:/etc/php.d/
  • PHP安全配置样例文件:/etc/php.d/security.ini(需要使用文本编辑器创建这个文件)
  • 操作系统:RHEL / CentOS / Fedora
    Linux(指令应该可以在所有其他Linux发行版,如Debian /
    Ubuntu,或是Unix-like的操作系统,如OpenBSD / FreeBSD /
    HP-UX下正常运行)
  • PHP服务的默认TCP/UDP端口:none

  可以配置Red Hat / CentOS / Fedora
Linux通过Email发送yum的包更新提醒,或是Debian / Ubuntu
Linux下的apticron发送提醒。又或通过cron计划任务进行更新。

  确保把所有错误信息记录到日志文件

  下午列出的大部分操作,都是基于 root 用户能在 bash 或其他现代 shell
上执行操作的假设。

Red Hat Enterprise Linux Server release 6.1 (Santiago)
$ curl -I http://www.cyberciti.biz/index.php

  样例输出

  启用则是:

# ....  
 /sbin/iptables --new-chain apache_user
 /sbin/iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 /sbin/iptables --append OUTPUT -m owner --uid-owner apache -j apache_user
 # allow apache user to connec to our smtp server 
 /sbin/iptables --append apache_user -p tcp --syn -d 192.168.1.100 --dport 25 -j RETURN
 # Allow apache user to connec to api server for spam validation
 /sbin/iptables --append apache_user -p tcp --syn -d  66.135.58.62 --dport 80 -j RETURN
 /sbin/iptables --append apache_user -p tcp --syn -d  66.135.58.61 --dport 80 -j RETURN
 /sbin/iptables --append apache_user -p tcp --syn -d  72.233.69.89 --dport 80 -j RETURN
 /sbin/iptables --append apache_user -p tcp --syn -d  72.233.69.88 --dport 80 -j RETURN
 #########################
 ## Add more rules here ##
 #########################
 # No editing below
 # Drop everything for apache outgoing connection
 /sbin/iptables --append apache_user -j REJECT

  如用户的确需要上传文件,那么把它启用,而后限制PHP接受的最大文件大小:

drwxrwx---. root apache system_u:object_r:httpd_var_run_t:s0 session

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图