操作系统:debian 6 32位
Web服务器:nginx/1.6.2
Php版本:Php5.4.26
nginx本身不能处理PHP,它只是个web服务器,当接收到要求后,如果是php要求,则发给php解释器处理,并把结果返回给客户端。nginx1般是把要求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginx。
nginx触及到两个账户,1个是nginx的运行账户,1个是php-fpm的运行账户。如果访问的是1个静态文件,则只需要nginx的运行账户对文件具有读取权限;而如果访问的是1个php文件,则首先需要nginx的运行账户对文件有读取权限,读取到文件后发现是1个php文件,则转发给php-fpm,此时则需要php-fpm账户对文件具有读取权限。
1. linux下,要读取1个文件,首先需要具有对文件所在文件夹的履行权限,然后需要对文件的读取权限。
2. php文件的履行不需要文件的履行权限,只需要nginx和php-fpm运行账户的读取权限。
3. 上传木马后,能不能列出1个文件夹的内容,跟php-fpm的运行账户对文件夹的读取权限有关。
4. 木马履行命令的权限跟php-fpm的账户权限有关。
5. 如果木马要履行命令,需要php-fpm的账户对相应的sh有履行权限。
6. 要读取1个文件夹内的文件,是不需要对文件夹有读取权限的,只需要对文件夹有履行权限。
1. Nginx.conf的配置
2. php-fpm.conf的配置
3. nginx和php-fpm的运行账户对磁盘的权限配置
4. Php.ini的配置
0x04 常见需要配置的操作方法
1. 制止1个目录的访问
示例:制止访问path目录
location ^~ /path {
deny all;
}
可以把path换成实际需要的目录,目录path后是不是带有"/",带“/”会制止访问该目录和该目录下所有文件。不带"/"的情况就有些复杂了,只要目录开头匹配上那个关键字就会制止;注意要放在fastcgi配置之前。
2. 制止php文件的访问及履行
示例:去掉单个目录的PHP履行权限
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
location ~
/(attachments|upload)/.*\.(php|php5)?$ {
deny all;
}
示例:去掉多个目录的PHP履行权限
3. 制止IP的访问
示例:制止IP段的写法:
deny 10.0.0.0/24;
allow
x.x.x.x;
allow 10.0.0.0/24;
deny all;
示例:只允许某个IP或某个IP段用户访问,其它的用户全都制止
1.让木马上传后不能履行针对上传目录,在nginx配置文件中加入配置,使此目录没法解析php。
2. 让木马履行后看不到非网站目录文件取消php-fpm运行账户对其他目录的读取权限。
3. 木马履行后命令不能履行取消php-fpm账户对sh的履行权限。
4. 命令履行后权限不能太高Php-fpm账户不要用root或加入root组。
1.修改网站目录所有者为非php-fpm运行账户,此处修改所有者为root。
chown -R root:root html/
2. 修改nginx及php-fpm的运行账户及组为nobody
nginx.conf
Php-fpm.conf
3. 取消nobody对所有目录的的读取权限,然后添加对网站目录的读取权限
chmod o-r –R /
chmod o+r –R html/
4. 取消nobody对/bin/sh 的履行权限
chmod 776 /bin/sh
5. 确认网站目录对nobody的权限为可读可履行,对网站文件的权限为可读
6. 对上传目录或写入写文件的目录添加nobody的写入权限
7. 配置nginx.conf 对上传目录无php的履行权限
8. 配置nginx.conf制止访问的文件夹,如后台,或限制访问ip
9. 配置nginx.conf制止访问的文件类型,如1些txt日志文件
实用常见命令:
ll -d html/
chown -R root:root html/
ll -d html/
root@kali:~# leafpad /etc/nginx/nginx.conf
user nobody;
#############################################
user = nobody;
group = nobody;
欢迎大家分享更好的思路,热切期待^^_^^ !!!