php.ini Guvenlik Ayarları

Merhabalar ; Bir müşterimiz sunucuya SHELL atmış baktım çatır çatır çalışıyor : ).Güzelden bir php.ini ayarlarına girdik kurcala kurcala SHELL Etkisiz hale getirdik.Uzunca bir liste hazırladıım sizlere bu işlemleri php.ini uyguladıktan sonra sunucunuzun güvenliği büyük ölçüde artacaktır.

 

 

[badlist]

  • Allta belirttiğim kodları “php.ini” dosyanıza alt alta ekleyebilirsiniz.
  • Bu işlemleri yaparken Yedekli çalışın !
  • Bu işlemler Sunucu güvenliği içindir  denenmiş faydası olmuştur 🙂

[/badlist]

Son zamanlarda “RFI” (Remote File Include) tarzı yöntemlerle birçok hack olayı yaşanıyor birçok kişi bunların önlemini almakta çaresiz kalıyor ve bu yüzden gerek itibarlarından gerekse sitelerinden oluyorlar. “RFI” açıklarını engelleyemeyenler için bir döküman yazmaya karar verdim. Bu sayede “RFI” açığınız olsa bile en az zararla hatta “0” zararla nasıl kurtulacağınızı anlatacağım. Bu ayarlar sayesinde hem güvenliğinizi hem de performansınızı artırmış olacaksınız.

“php.ini” yapılandırmasına geçmeden önce sunucumuzda bulunan klasör ve dosya izinlerini “chmod” doğru şekilde ayarlayalım. Genelde FTP programlarında dosya yada klasör üzerine “sağ click” yapılıp yada “file” seçeneğinden “Change Attributes ya da Properties / CHMOD” seçeneklerinden düzenleriz burada “permissions” altında yani izinler altında önerilenleri girmek en uygunudur.

Klasörler için: 755
Dosyalar için: 644

 

İzinleri bu şekilde ayarlamanız güvenlik için ilk adımı atmanıza yardımcı olur.

“php.ini” yapılandırması:

Eğer server admini iseniz yani root yetkilere sahipseniz bu ayarları serverda bulunan tüm siteler için yapabilirsiniz genellikle “/usr/local/Zend/etc/” altında bulunan “php.ini” dosyasını açarak düzenleyebilirsiniz veya “httpd.conf” dosyasının doğru yapılandırılmasıyla da olur. Daha sonra apache’ye restart atmanız gerekmektedir.

Root değilseniz sadece kendi siteniz için yapmanız gerekiyorsa kök dizininizde (public_html) bir “php.ini” dosyası oluşturarak veya varolan “php.ini” dosyasının içerisine altta verdiğim kodları ekleyerek güvenliğinizi sağlayabilirsiniz. Fakat sitenizle aynı serverda bulunan diğer sitelerden kaynaklanan açıklardan yararlanan kişiler root olmayı başarırlarsa burada anlatılanlar yetersiz kalır, root olmayı başaramazlarsa ve sitenizin şifrelerini kaptırmazsanız güvendesinizdir.

***Altta anlattığım bilgiler iyi bir güvenlik için yapılması gerekenler olduğundan dolayı bunları uyguladıktan sonra bazı scriptlerinizin çalışması engellenmiş olabilir. Ama scriptin çalışmasını engelleyen değerleri iptal ederseniz script tekrar doğru şekilde çalışacaktır***

Şimdi gelelim “php.ini” yapılandırmasına:

disable_functions” (Güvenlik)

“disable_functions” ile serverınızda birçok fonksiyonun çalışmasını engelleyebilirsiniz bu sayede sitenize inject edilen scriptler, sheller için güvenliğinizi almış olursunuz. Bu kadar fonksiyon fazla gelebilir ama iyi bir güvenlik için şart. Bu kadar sayıda devre dışı bırakılan fonksiyonlar ilk defa “ebrarsecurity.org” adresinde verilmiştir.

Önerilen:

disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual

Eğer bu kadar fonsiyonu devre dışı bırakmak fazla geldiyse alttaki gibi de ayarlayabilirsiniz bu da güvenliğiniz için yeterlidir:

disable_functions = glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute

safe_mode” (Güvenlik)

“Safe Mode” adından da anlaşılacağı gibi “Güvenli Mod” anl***** geliyor. “Safe Mode” genelde birçok serverda “Off” durumdadır ve bu da birçok tehlikeye davetiye çıkaran unsurlar arasında yer alır. “Güvenli Modu Açık” durumuna getirmek shellerin serverımızda istedikleri gibi dolaşmalarını, exploitlerin çalıştırılmasını ve komutların execute edilmelerini önler. Günümüzde “açık olan güvenlik modunu” kapalı duruma getiren scriptler mevcut fakat altta anlatılan önlemlerle bunun da önüne geçilebilir.

Önerilen:

safe_mode = on

 

register_globals” (Güvenlik ve Performans)

php.ini dosyasında bulunan “post” “get” ile gönderilen değerlere kullanıcı adlarıyla ulaşılıp ulaşılamayacağını belirtir. Session, cookie değerlerini kendi adıyla tanımlayarak birer değişken olmasına neden olur. “Off” olarak ayarlanırsa bu gibi değerlere kendi tanımladığı şekilde ulaşılamaz.

Önerilen:

register_globals = off

 

“allow_url_fopen” (Güvenlik)

“allow_url_fopen” default olarak “açık” şeklinde gelir ve bunun “on” açık olması “file_get_contents()”, “include()”, “require()” fonksiyonlar uzaktaki dosyaları da işlemesine olanak tanır. Bunlara verilen bilgiler hiçbir kontrolden geçirilmezse kritik güvenlik açıklarını sebep olur.

Önerilen:

allow_url_fopen = off

 

“allow_url_include” (Güvenlik)

Bu değer kapalı yapıldığında “require” ve “include” ile uzaktan dosya çağırılması engellenmiş olur ve bu sayede büyük bir tehlikeden kurtulmuş olursunuz.

Önerilen:

allow_url_include = off

 

“display_errors” (Güvenlik)

Bu seçenek sitenizin çalışmasında oluşacak bir hatayı tarayıcıya yansıtıp yansıtmayacağını belirler yani siteniz için diyelim bir forum veya portal kullanıyorsunuz ve bunların çalışması esnasında genelde “Fatal error: Call to undefined function get_header() in /home/vhosts/site.com/index.php on line 37” şeklinde benzeri hata görülür bunların gözükmesini engellemek için bu değeri kapalı duruma getirmek gerekir zira kötü niyetli kişiler sitenizin serverda bulunan tam yolunu öğrenmiş olurlar.

Önerilen:

display_errors = Off

 

cgi.force_redirect” (Güvenlik)

Bu değer normalde “on” olarak gelir ve Windows sunucularında IIS, OmniHTTPD gibi buralarda kapatılması gerekir. Kendi sunucunuz için bu durum yoksa değiştirmenize gerek yoktur.

Önerilen:

 

cgi.force_redirect = on

 

“magic_quotes_gpc” (Güvenlik ve Performans)

Magic Quotes işlemi GET/POST yöntemiyle gelen Cookie datasını otomatikmen PHP script’e kaçırır. Önerilen bu değerin kapalı olmasıdır.

Önerilen:

magic_quotes_gpc = off

 

“magic_quotes_runtime” (Güvenlik ve Performans)

Magic quotes çalışma sürecinde data oluşturur, SQL’den exec()’den, vb.

Önerilen:

magic_quotes_runtime = Off

 

magic_quotes_sybase” (Güvenlik ve Performans)

Sybase-style magic quotes kullanır (Bunun yerine ‘ ‘ bununla ” kaçırır)

Önerilen:

magic_quotes_sybase = Off

 

“session.use_trans_sid” (Güvenlik)

Bu ayarı dikkatli ayarlayın, kullanıcı emaile aktif oturum ID’si içeren URL gönderebilir

Önerilen:

session.use_trans_sid = off

 

“open_basedir” (Güvenlik)

Burada belirttiğiniz bir dizin haricindeki dosyaları veya klasörleri görmeleri olanaksızdır yani sitenizde sadece dosyalar dizininin görüntülenmesini istiyorsanız böyle yapılır

Kod:
/home/vhosts/site.com/public_html/dosyalar/
veya hem dosyalar hem de resimlerin bulunduğu yerin gözükmesi için de böyle

Kod:
/home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/
bunlar haricindeki yerlerin görünmesi imkansızdır.

Önerilen:
Kod:
open_basedir = /home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/
/resimler ve /dosyalar yazan yere görünmesini istediğiniz dizinleri belirtin.

 

“safe_mode_exec_dir” (Güvenlik)

Safe Mode açıkken bunu yaparsanız sadece belirttiğiniz dizinde işlem yapılmasına izin verirsiniz. Safe Mode kapalıyken burada belirttiğiniz dizinlerin dışında hiçbir dizinde işlem yapılamaz. “/home/vhosts/site.com/public_html/” yazan yere kendi dizininizi yazabilirsiniz. Böylece, diyelim “/etc” v.s dizininden herhangi birşey çalıştırmasına izin vermezsiniz.

Önerilen:

safe_mode_exec_dir = “/home/vhosts/site.com/public_html/”

“Safe Mode” yani “Güvenli Mod” açıkken yapılması tavsiye edilmez. Çünkü “safe mode” burada belirttiğiniz dizinde etkisiz kalacaktır. Güvenli Mod’un açık olması o dizinde işe yaramayacaktır. Güvenlik için, “Safe Mod” yani “Güvenli Mod” “off” kapalıyken kullanılması daha uygundur.

“asp_tags” (Güvenlik)

ASP Style < % % > taglarına izin verilip verilmeyeceği belirlenir, kapalı duruma getirilmesi önerilir.

Önerilen:

asp_tags = Off

 

“session.hash_function” (Güvenlik)

Oturumlar için Hash Fonksiyonu

0: MD5 (128 bits)
1: SHA-1 (160 bits)

Önerilen:

session.hash_function = 0

 

“session.hash_bits_per_character” (Güvenlik)

Hash çevirirken her karakterde kaç bit saklansın

4 bits: 0-9, a-f
5 bits: 0-9, a-v
6 bits: 0-9, a-z, A-Z, “-“, “,”

Önerilen:

session.hash_bits_per_character = 5

 

“expose_php” (Güvenlik)

“expose_php” açık ise kapalı yapılması önerilir. Aksi takdirde PHP ile yaptığınız herşeyde sunucu tarafından PHP sürümü gibi bilgiler gösterilir. Hackerlar hatta Lamerlar bu bilgileri severler. Bunları engellemek için “off” konumuna getiriniz.

Önerilen:

expose_php = Off

 

“html_errors” (Güvenlik)

Bu değerin açık olması durumunda PHP tıklanabilir hata mesajları üretecektir. Kapalı olması güvenlik için önerilir.

Önerilen:

html_errors = off

 

“max_execution_time” (Güvenlik)

Scriptinizi maksimum uygulamayı yürütme zamanı mesela kullanıcı bir linke tıkladı ve bu linkin açılması belirtilen saniyeden fazla olursa sayfa sitenizin serverda bulunduğu tam yolu göstererek hata verir. Bu hataların gözükmesi güvenlik açısından sakıncalıdır. 300 saniye yazan yeri istediğiniz zaman ile değiştirebilirsiniz.

Önerilen:

max_execution_time = 300

 

“ServerSignature” (Güvenlik ve Performans)

“ServerSignature” sitenizde bulunmayan bir dosyanın bakılması durumunda bu sayfanın altında serverla ilgili bir bilgi yer alır ve bu da performansı düşürür ayrıca kötü niyetli kişiler serverla ilgili bir bilgi öğrenmiş olurlar.

Önerilen:

ServerSignature = Off

 

“UseCanonicalName” (Performans)

Bu ayarın açık olması Apache self-referencing URL oluşturduğunda Server ismi ve porttan oluşan bir çözülmüş isim kullanır.

Önerilen:

UseCanonicalName = Off

 

“HostnameLookups” (Performans)

“HostnameLookups” açık olması performansın düşmesine neden olur. IP numarası DNS sunucusundan bakılarak adres öğrenilir buda performansı düşürür.

Önerilen:

HostnameLookups = Off

 

“ExtendedStatus” (Performans)

Serverın durumunu öğrenmek için server-status kullanılıyorsa Apache her an bu işlemcinin çağrılabileceğini beklediği için hazır bekler ve her an sistem saatini öğrenmesi gerekir bu da performansı düşürür.

Önerilen:

ExtendedStatus = off

 

“register_long_arrays” (Güvenlik ve Performans)

Bu değerin “on” açık olması durumunda sisteminizde her script çalışmayacaktır install v.s yapmakta hatalarla karşılaşabilirsiniz ama iyi bir güvenlik ve performans için “off” duruma getirilir.

Önerilen:

register_long_arrays = Off

“allow_call_time_pass_reference” (Performans)

Fonksiyonların çağrılma zamanında yaşanan uyumsuzluklarla ilgili uyarı verir.

Önerilen:

allow_call_time_pass_reference = off

 

“enable_dl” (Güvenlik)

Bu değerin “off” kapalı olması gerekir aksi halde kişilerin sistemde php modüllerinde çalışma yapmasına olanak sağlar ve sistemde rahat dolaşmalarını sağlar güvenlik için kapalı olması gerekir.

Önerilen:

enable_dl = off

 

“track_errors” (Güvenlik ve Performans)

Sürücülerde meydana gelen hatalarda yetki verildiği taktirde hata mesajı errormsg olarak değişkende gösterilir.

Önerilen:

track_errors = Off

 

“file_uploads” (Güvenlik)

Açık olursa eğer sunucuda dosya yüklenmesine izin verilmiş olur ve bu da ciddi bir güvenlik açığına neden olur eğer kullandığınız scriptden herhangi bir dosya yüklemeniz gerekmiyorsa mutlaka kapalı duruma getiriniz. Bu sayede sitenize herhangi bir shell, script inject edise bile kesinlikle dosya yüklenmesine izin vermez.

Önerilen:

file_uploads = off

 

“ignore_repeated_errors” (Güvenlik ve Performans)

Açık olursa tekrarlanan hataları loglamaz.

Önerilen:

ignore_repeated_errors = Off

 

“ignore_repeated_source” (Güvenlik ve Performans)

Tekrarlanan mesajlar engellendiğinde, mesaj kaynağını engeller Bu ayar açık yapıldığında hataları loglamayacaktır farklı dosyalardan ya da kaynaklardan tekrarlanan mesajlarla.

Önerilen:

ignore_repeated_source = Off

 

“display_startup_errors” (Güvenlik ve Performans)

“display_errors” değeri “on” açık olsa bile, Php’nin çalışma sırasında meydana gelen hatalar gözükmeyecektir. Bu değerin şiddetle “off” kapalı duruma getirilmesi önerilir.

Önerilen:

display_startup_errors = off

 

“safe_mode_gid” (Güvenlik)

UID – GID kontrollerini sadece UID ile yapmasına izin verir böylece aynı grupta dosyalar bulunsa bile göremezler yani serverda bulunan diğer clientların scriptlerini v.s görmeleri engellenir.

Önerilen:

safe_mode_gid = Off

 

“output_buffering = 4096” (Performans)

4 KB’lik bir tampon çıktısı ayarlar “output buffer”

Önerilen:

output_buffering = 4096

 

“register_argc_argv” (Performans)

Kapalı olursa gereksiz ARGV ve ARGC kayıtlarını önler. PHP nin ARGV ve ARGC değişkenlerini bildirip bildirmemesini anlatır.

Önerilen:

register_argc_argv = Off

 

php_value session.use_trans_sid – php_value session.use_only_cookies”

Bu şekilde ayarlanması URL’deki PHPSESSID bilgilerini kaldırır.

Önerilen:

php_value session.use_trans_sid = 0
php_value session.use_only_cookies = 1

 

“session.auto_start”

Oturum başlatmayı başlangıçta isteme

Önerilen:

session.auto_start = 0

 

“session.cookie_lifetime”

Cookie’nin zaman ayarı

Önerilen:

session.cookie_lifetime = 0

 

“memory_limit”

Scriptin tükettiği maksimum hafıza miktarı

Önerilen:

 

memory_limit = 8M

 

“post_max_size”

PHP’nin kabul edeceği maksimum POST data boyutu

Önerilen:

post_max_size = 256K

 

“upload_max_filesize”

Upload edilen dosyaların maksimum boyutu

Önerilen:

upload_max_filesize = 256K

 

“upload_tmp_dir”

Temporary klasörü HTTP’den gelen dosyalar, ayarlanmazsa default klasörü kullanacaktır.

Önerilen:

upload_tmp_dir = /path/to/www/belirlediginiz-dizin

 

“variables_order”

(Ortam, GET, POST, Çerez, Sunucu) bunların işlenmedeki sıralarını belirler.

Önerilen:

variables_order = “EGPCS”

 

 

 

 

Yazar: ozkula

2011 dan bu yana edindiğimiz tüm bilgileri ozkula blog üzerinde ücretsiz yayınlıyoruz.310 dan fazla özgün makale ile en güncel hosting bloglar arasında ...

13 thoughts on “php.ini Guvenlik Ayarları

    mehmet

    (Kasım 19, 2011 - 1:23 am)

    /home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/
    /resimler ve /dosyalar yazan yere görünmesini istediğiniz dizinleri belirtin.
    ********************************************************************************************************
    hocam benim takıldığım noktalar var.site.com yazılan yere ne yazılacak.sonuçta tüm sunucu için yapıyoruz.10 site var.bide dizinler konusunuda açarsanız.
    bide yukarda vermiş olduğunuz bazı ayarlar php.ini dosyasında bulunmamakta sıkıntı olur mu?
    teşekkürler.

    mehmet

    (Aralık 5, 2011 - 11:25 pm)

    hocam tüm bunları yapmama rağmen sitelerim hackledi nasıl oluyor :s

      admin

      (Aralık 5, 2011 - 11:32 pm)

      Merhaba
      Yukarıdaki işlemler %100 engel olacak diye kesin bir kaide kesinlikle yok.
      Hacklendiyseniz bundan sonra nereden girip ne yaptıklarını tespit ederek o açığı kapatırsanız sizin için daha faydalı olacaktır.

    Mehmet

    (Haziran 21, 2012 - 7:46 am)

    Merhaba sağolun paylaşımınız için ama bu php.ini yapılandırması baya eski özellikle de “disable_functions” fonksiyonları php4 döneminden kalma ve çoğu scripti çalıştırmıyor. en güncel “disable_functions” fonksiyonlarını paylaşırmısınız.

      admin

      (Haziran 22, 2012 - 7:23 pm)

      Makale eski olduğu için kodlarda eskimiş olabilir.
      fakat yine bir çok faydası mevcut burada paylaşılan disable_f yasaklarının.

    yücel

    (Haziran 25, 2012 - 8:24 pm)

    merhaba hocam.
    burda anlamadığım 2 nokta dosya ve klasörlere hangi komut ile 755 ve 644 değerlerini verecez.

    bide

    open_basedir = /home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/

    vb kodlarda siteadi.com ve dosyaları neye göre ayarlıyoruz.anlatırsanız sevinirim.

      admin

      (Haziran 26, 2012 - 1:36 am)

      Merhaba
      Klasörler 755
      Dosyalar , php dosyaları 655 olacak

    yücel

    (Haziran 26, 2012 - 10:39 am)

    hocam sunucuda o kadar klasör ve dosya var.tek tek mi yapacaz ? ssh’den yapmk yoksa kodu var mı?

      admin

      (Haziran 26, 2012 - 2:21 pm)

      Sunucudaki tüm dosyalar değil sadece bazı sistem dosyaları iinleri değişmesi gerek fakat 755 veya 655 değil .
      Detaylı bilgi henüz blog da paylaşmadık ilerleyen zamanlarad bunla ilgili bir paylaşım yapabiliriz

    erkan

    (Aralık 13, 2012 - 8:58 pm)

    yazılarınız çok küçük ve silik zor okudum . kesinlikle düzeltin

    sedat

    (Ağustos 17, 2013 - 1:10 am)

    Merhaba Hocam.
    Server Kiraladım Fakat Güvenlik Adına Hiç Bişeyi Yok.Makalenizden Faydalandım.Fakat Bir Kaç Sitemde r57 ve c99 Gibi Shell Dosyaları Atarak Çalışıp Çalışmadıklarına Baktım.C99 Dosyası Çalışmıyor.406 Not Acceptable Hatası veriyor.Fakat Ne Yaptıysam r57 Dosyasını Çalıştırmayı Durduramadım.Çözümü Nedir Acaba?Teşekküler.

      Emirhan

      (Ağustos 20, 2013 - 11:32 pm)

      Merhaba sedat bey

      shell çalışmasın sunucu üzerindeki birşeyleri kısıtlayarak engelleyemezsiniz.Sadece işlemlerinin çalışmasını engelleyebilir veya minimum seviyeye düşürebilirsiniz

      Yukardaki işlemler ile hesap dışında genel sunucu güvenliğini almış oluyor bir hesap üzerinden diğer hesaba geçişini biraz daha zorlaştırıyorsunuz

    Can

    (Temmuz 25, 2014 - 6:25 pm)

    cok iyi cok güzel ama keşke sunucularda nasil kapaticagimizi komutları v.s yazsaydınız

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir