以php发行版的php.ini-dist为蓝本进行修改。
1)Error handling and logging
在Error handling and logging部分可以做一些设定。先找到:
display_errors = On
php缺省是打开错误信息显示的,我们把它改为:
display_errors = Off
关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一
定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的 信息,起码给攻击者的黑箱检测造成一定的障碍 。这些错误信息可能对我们 自己有用,可以让它写到指定文件中去,那么修改以下:
log_errors = Off
改为:
log_errors = On
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php
on line 3
这样我们能防止许多系统文件被读,比如:/etc/passwd等。
上传目录和上传脚本的属主也要设成一样,否则会出现错误的,在safe_mode下
这些要注意。
6、mysql的启动权限设置
mysql要注意的是不要用root来启动,最好另外建一个mysqladm用户。可以在
/etc/rc.local等系统启动脚本里加上一句:
su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"