10 lưu ý bảo mật dữ liệu cho website PHP sử dụng Shared hosting Linux | 10 luu y bao mat du lieu cho website PHP su dung Shared hosting Linux - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

09-11-2009, 04:08 PM

10 lưu ý bảo mật dữ liệu cho website PHP sử dụng Shared hosting Linux

Ngày nay các ứng dụng web với mã nguồn mở phát triển rất mạnh, trong đó đặc biệt phổ biến là PHP – MySQL. Nhưng công nghệ phát triển đồng thời kéo theo những “tin tặc” trẻ luôn muốn khẳng định mình sau khi xem những hướng dẫn tấn công, khai thác lỗi đầy rẫy trên các forum hacker. Vì thế bất kì một website nào cũng có khả năng bị tấn công bất cứ lúc nào, đặc biệt là các site cá nhân, tập thể vừa và nhỏ sẽ chọn giải pháp là thuê shared hosting trên một server. Vì các shared hosting ở cùng server nên độ riêng tư không cao, việc kiên cố hoá website trên shared hosting là rất cần thiết.

Shared hosting là gì ?

Ta vẫn quen gọi ngắn shared hosting là host, vì hầu hết các site đều thuê dịch vụ hosting để tiết kiệm chi phí, ngoại trừ một số site yêu cầu tài nguyên lớn và độ bảo mật cao mới sử dụng server riêng.

1. Phân quyền hợp lí

A. Tìm hiểu về chmod:

Là sự phân quyền truy cập vào một file hay một folder đối với các lớp người dùng giống như các thuộc tính dùng lệnh attrib trong DOS.
Các lớp người dùng gồm có: Owner – Group – World

Owner : người “sở hữu” host.
Group : là nhóm người dùng.
World : bất kì ai.

Các quyền khi chmod:

Read : đọc (r = 4)
Write : ghi (w = 2)
Execute : thực thi (x = 1)

VD: chmod 751 = rwxr-x--x

Cách chmod:
Ta có thể chmod file, folder bằng FTP hoặc cPanel. Sau đây là ví dụ dùng FTP (trong cPanel tương tự):

Dùng FTP client (ở đây tôi dùng FlashFXP) để connect FTP vào host.
Chuột phải lên các file, folder (giữ Ctrl và click để chọn nhiều file/folder rời rạc, hoặc Ctrl A để chọn hết), chọn CHMOD, ta sẽ có hộp thoại như hình:
Nếu bạn muốn chmod thư mục và file khác nhau thì đánh dấu chọn Separately set File and Folder attributes.

B. CHMOD thế nào để an toàn:

Cách CHMOD tối ưu nhất :

chmod 404 (chỉ cho phép đọc) tất cả các file.
chmod 101 (chỉ cho thực thi) tất cả các folder.
chmod 501 thư mục /public_html/

Các cách chmod trên đều không cho write, do đó bố cục được bảo toàn, đồng thời không thể xem cấu trúc site, thư mục, file. Có thể nói đó là các chmod an toàn nhất mà ứng dụng web như diễn đàn, site nhạc, tin tức có thể hoạt động ổn định.

Tuy nhiên không phải server nào cũng cho phép bạn chmod như vậy, nếu bạn dùng FTP không thể chmod được như vậy, thì hãy chmod như sau:

chmod 704 (chỉ cho phép đọc) tất cả các file.
chmod 701 (chỉ cho thực thi) tất cả các folder.

Lưu ý: Phiên bản cPanel 11 có File Manager V3, có thể dùng để chmod hàng loạt rất tốt và có thể chmod được file 404, folder 101.

2. “Ẩn mình” – Hide path

Khi đăng kí hosting, domain chính thường được trỏ vào ngay trong thư mục /public_html/, điều này giúp “kẻ tấn công” dễ dàng mò đến file quan trọng của website (vd như file config.php của các forum chẳng hạn), và khi đó thông tin đăng nhập quản lí cơ sở dữ liệu của website đã bị kẻ xấu lấy mất. Điều tệ hại gì sẽ xảy ra ?

Để khắc phục điểm này, ta nên yêu cầu bên cung cấp hosting tạo host không có domain (tên miền) chính và để ta tự gắn vào bằng chức năng add-on domain. Khi add domain sẽ có chỗ để bạn nhập đường dẫn đến thư mục mà domain sau khi gắn thành công sẽ trỏ vào như hình2.
VD: /public_html/foder1/folder2/folder3/forum/

Cái hình này đã được làm nhỏ. Nhấn vào đây để xem kích thước thật. Kích thước thật là 632x362.

Sau khi bạn bấm add các thư mục folder1, folder2, …, forum sẽ được tự động tạo ra. Và bây giờ bạn áp dụng cách chmod ở trên để chmod các thư mục folder1, folder2 … để giấu đường dẫn của site trên server.

3. Không hiển thị lỗi nếu phát sinh

Khi có lỗi phát sinh, PHP sẽ hiện thông báo ra trình duyệt và chỉ rõ lỗi ở file nào, dòng nào và đường dẫn của file, vì thế điều này rất nguy hiểm.

Để che lỗi, bạn tạo một file php.ini với nội dung như sau:

display_errors = Off
log_errors = On

Sau đó upload lên thư mục chứa website.

Gợi ý: bạn nên up file php.ini trên vào các thư mục mà người dùng sẽ truy cập bằng trình duyệt, thường là thư mục chứa website, thư mục quản trị, thư mục của user …

4. Bật safe-mode (chế độ an toàn) và vô hiệu các hàm nguy hiểm

Thêm hoặc edit 2 dòng sau trong nội dung file php.ini

disable_functions = passthru, system, shell_exec, exec, dir, readfile, virtual, proc_terminate
safe-mode = on

Lưu ý: bạn có thể bỏ bớt các hàm trong danh sách hàm bị vô hiệu nếu hàm đó cần cho website của bạn hoạt động.

5. Phân quyền account truy cập cơ sở dữ liệu MySQL

Khi bạn tạo user truy cập vào database, bạn cần lưu ý:

Không dùng user và pass của host làm user của database.
Không cấp quyền DROP như hình 3.

6. Tránh chmod 777 cho folder/file

Đôi khi bạn gặp một số yêu cầu chmod 777 cho file/folder để thực hiện công việc gì đó, bạn hãy chú ý chmod lại sau khi công việc đã được thực hiện xong.

Bạn có thể tham khảo thêm tại đây: http://www.enhack.net/xforce/showthread.php?t=6

7. Mã hoá các file chứa thông tin nhạy cảm

Các file nhạy cảm chứa các thông tin kết nối cơ sở dữ liệu như config.php với các kiểu mã hoá như base64 của PHP hoặc mã hoá dùng phần mềm zendguard của www.zend.com.

Nếu mã hoá base64 PHP thì các bạn có thể dùng google để tìm với từ khoá base64 encode
Mình xin giới thiệu một link để các bạn mã hoá base64 file php: http://dnstools.it-4vn.com/phpencode.php

8. Ngăn download source code khi server gặp sự cố:

Tạo file .htaccess nội dung như sau:

<Files "config.php">

Order Allow,Deny
Deny from All
</Files>
<Files "class_core.php">
Order Allow,Deny
Deny from All

</Files>

Mục đích để ngăn cản việc download source code khi PHP bị overload hoặc terminated. Nguyên nhân có thể đến từ bên trong hoặc bên ngoài. Tôi không đề cập ở đây.

9. Vô hiệu hoá biên dịch mã PHP trong thư mục chỉ định

Nếu bạn có một thư mục dành cho việc upload, bạn nên vô hiệu hoá việc biên dịch và thực thi mã PHP trong thư mục ấy vì attacker có thể lợi dụng việc upload để đưa script độc (webshell) lên host của bạn.

Tạo file .htaccess đặt vào thư mục đó với nội dung như sau:

php_admin_flag engine off

Sau đó chmod 444 cho file.
Các bạn có thể thảo luận hoặc tham khảo thêm tại đây: http://www.enhack.net/xforce/showthread.php?t=22

10. Thường xuyên cập nhật vá lỗi cho website và đặt một mật khẩu quản trị tương đối kiên cố, liên hệ với nhà cung cấp dịch vụ để sửa lỗi.

Lưu ý cuối cùng:

File php.ini mình đề cập ở trên chỉ có tác dụng tại thư mục chứa nó, các thư mục không chứa nó sẽ không bị nó chi phối mà sẽ bị cấu hình trong php.ini của server chi phối.

Các file php.ini và .htaccess nên chmod 444 để bảo vệ cấu hình.

Chúc các bạn thành công.

09-11-2009, 04:08 PM	#1
hoctinhoc Guest Trả Lời: n/a	10 lưu ý bảo mật dữ liệu cho website PHP sử dụng Shared hosting Linux 10 lưu ý bảo mật dữ liệu cho website PHP sử dụng Shared hosting Linux Ngày nay các ứng dụng web với mã nguồn mở phát triển rất mạnh, trong đó đặc biệt phổ biến là PHP – MySQL. Nhưng công nghệ phát triển đồng thời kéo theo những “tin tặc” trẻ luôn muốn khẳng định mình sau khi xem những hướng dẫn tấn công, khai thác lỗi đầy rẫy trên các forum hacker. Vì thế bất kì một website nào cũng có khả năng bị tấn công bất cứ lúc nào, đặc biệt là các site cá nhân, tập thể vừa và nhỏ sẽ chọn giải pháp là thuê shared hosting trên một server. Vì các shared hosting ở cùng server nên độ riêng tư không cao, việc kiên cố hoá website trên shared hosting là rất cần thiết. Shared hosting là gì ? Ta vẫn quen gọi ngắn shared hosting là host, vì hầu hết các site đều thuê dịch vụ hosting để tiết kiệm chi phí, ngoại trừ một số site yêu cầu tài nguyên lớn và độ bảo mật cao mới sử dụng server riêng. 1. Phân quyền hợp lí A. Tìm hiểu về chmod: Là sự phân quyền truy cập vào một file hay một folder đối với các lớp người dùng giống như các thuộc tính dùng lệnh attrib trong DOS. Các lớp người dùng gồm có: Owner – Group – World Owner : người “sở hữu” host. Group : là nhóm người dùng. World : bất kì ai. Các quyền khi chmod: Read : đọc (r = 4) Write : ghi (w = 2) Execute : thực thi (x = 1) VD: chmod 751 = rwxr-x--x Cách chmod: Ta có thể chmod file, folder bằng FTP hoặc cPanel. Sau đây là ví dụ dùng FTP (trong cPanel tương tự): Dùng FTP client (ở đây tôi dùng FlashFXP) để connect FTP vào host. Chuột phải lên các file, folder (giữ Ctrl và click để chọn nhiều file/folder rời rạc, hoặc Ctrl A để chọn hết), chọn CHMOD, ta sẽ có hộp thoại như hình: Nếu bạn muốn chmod thư mục và file khác nhau thì đánh dấu chọn Separately set File and Folder attributes. B. CHMOD thế nào để an toàn: Cách CHMOD tối ưu nhất : chmod 404 (chỉ cho phép đọc) tất cả các file. chmod 101 (chỉ cho thực thi) tất cả các folder. chmod 501 thư mục /public_html/ Các cách chmod trên đều không cho write, do đó bố cục được bảo toàn, đồng thời không thể xem cấu trúc site, thư mục, file. Có thể nói đó là các chmod an toàn nhất mà ứng dụng web như diễn đàn, site nhạc, tin tức có thể hoạt động ổn định. Tuy nhiên không phải server nào cũng cho phép bạn chmod như vậy, nếu bạn dùng FTP không thể chmod được như vậy, thì hãy chmod như sau: chmod 704 (chỉ cho phép đọc) tất cả các file. chmod 701 (chỉ cho thực thi) tất cả các folder. Lưu ý: Phiên bản cPanel 11 có File Manager V3, có thể dùng để chmod hàng loạt rất tốt và có thể chmod được file 404, folder 101. 2. “Ẩn mình” – Hide path Khi đăng kí hosting, domain chính thường được trỏ vào ngay trong thư mục /public_html/, điều này giúp “kẻ tấn công” dễ dàng mò đến file quan trọng của website (vd như file config.php của các forum chẳng hạn), và khi đó thông tin đăng nhập quản lí cơ sở dữ liệu của website đã bị kẻ xấu lấy mất. Điều tệ hại gì sẽ xảy ra ? Để khắc phục điểm này, ta nên yêu cầu bên cung cấp hosting tạo host không có domain (tên miền) chính và để ta tự gắn vào bằng chức năng add-on domain. Khi add domain sẽ có chỗ để bạn nhập đường dẫn đến thư mục mà domain sau khi gắn thành công sẽ trỏ vào như hình2. VD: /public_html/foder1/folder2/folder3/forum/ Cái hình này đã được làm nhỏ. Nhấn vào đây để xem kích thước thật. Kích thước thật là 632x362. Sau khi bạn bấm add các thư mục folder1, folder2, …, forum sẽ được tự động tạo ra. Và bây giờ bạn áp dụng cách chmod ở trên để chmod các thư mục folder1, folder2 … để giấu đường dẫn của site trên server. 3. Không hiển thị lỗi nếu phát sinh Khi có lỗi phát sinh, PHP sẽ hiện thông báo ra trình duyệt và chỉ rõ lỗi ở file nào, dòng nào và đường dẫn của file, vì thế điều này rất nguy hiểm. Để che lỗi, bạn tạo một file php.ini với nội dung như sau: display_errors = Off log_errors = On Sau đó upload lên thư mục chứa website. Gợi ý: bạn nên up file php.ini trên vào các thư mục mà người dùng sẽ truy cập bằng trình duyệt, thường là thư mục chứa website, thư mục quản trị, thư mục của user … 4. Bật safe-mode (chế độ an toàn) và vô hiệu các hàm nguy hiểm Thêm hoặc edit 2 dòng sau trong nội dung file php.ini disable_functions = passthru, system, shell_exec, exec, dir, readfile, virtual, proc_terminate safe-mode = on Lưu ý: bạn có thể bỏ bớt các hàm trong danh sách hàm bị vô hiệu nếu hàm đó cần cho website của bạn hoạt động. 5. Phân quyền account truy cập cơ sở dữ liệu MySQL Khi bạn tạo user truy cập vào database, bạn cần lưu ý: Không dùng user và pass của host làm user của database. Không cấp quyền DROP như hình 3. 6. Tránh chmod 777 cho folder/file Đôi khi bạn gặp một số yêu cầu chmod 777 cho file/folder để thực hiện công việc gì đó, bạn hãy chú ý chmod lại sau khi công việc đã được thực hiện xong. Bạn có thể tham khảo thêm tại đây: http://www.enhack.net/xforce/showthread.php?t=6 7. Mã hoá các file chứa thông tin nhạy cảm Các file nhạy cảm chứa các thông tin kết nối cơ sở dữ liệu như config.php với các kiểu mã hoá như base64 của PHP hoặc mã hoá dùng phần mềm zendguard của www.zend.com. Nếu mã hoá base64 PHP thì các bạn có thể dùng google để tìm với từ khoá base64 encode Mình xin giới thiệu một link để các bạn mã hoá base64 file php: http://dnstools.it-4vn.com/phpencode.php 8. Ngăn download source code khi server gặp sự cố: Tạo file .htaccess nội dung như sau: <Files "config.php"> Order Allow,Deny Deny from All </Files> <Files "class_core.php"> Order Allow,Deny Deny from All </Files> Mục đích để ngăn cản việc download source code khi PHP bị overload hoặc terminated. Nguyên nhân có thể đến từ bên trong hoặc bên ngoài. Tôi không đề cập ở đây. 9. Vô hiệu hoá biên dịch mã PHP trong thư mục chỉ định Nếu bạn có một thư mục dành cho việc upload, bạn nên vô hiệu hoá việc biên dịch và thực thi mã PHP trong thư mục ấy vì attacker có thể lợi dụng việc upload để đưa script độc (webshell) lên host của bạn. Tạo file .htaccess đặt vào thư mục đó với nội dung như sau: php_admin_flag engine off Sau đó chmod 444 cho file. Các bạn có thể thảo luận hoặc tham khảo thêm tại đây: http://www.enhack.net/xforce/showthread.php?t=22 10. Thường xuyên cập nhật vá lỗi cho website và đặt một mật khẩu quản trị tương đối kiên cố, liên hệ với nhà cung cấp dịch vụ để sửa lỗi. Lưu ý cuối cùng: File php.ini mình đề cập ở trên chỉ có tác dụng tại thư mục chứa nó, các thư mục không chứa nó sẽ không bị nó chi phối mà sẽ bị cấu hình trong php.ini của server chi phối. Các file php.ini và .htaccess nên chmod 444 để bảo vệ cấu hình. Chúc các bạn thành công.

Chia Sẽ Kinh Nghiệm Về IT