어드민플레이 - Linux Security Q&A - PHP 보안관련 설정 권고사항

해외 사이트를 다니다가 발견한 내용입니다.
보안을 위해 다음과 같이 설정하여 봅시다.

 
disable_functions = php_uname, putenv, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abord, shell_exec, popen, dl, set_time_limit, exec, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid 
, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname 
 
register_globals = Off  
위의 설정은 패치안된 제로보드4의 작동을 바보 만들수 있습니다. 
 
register_long_arrays = Off 
위의 설정은 모든 제로보드4의 작동을 바보로 만듭니다. 
 
register_argc_argv = Off 
 
enable_dl = Off 
 
mysql.allow_persistent = Off 
MySQL의 지속접속에 관련된 내용인데 pconnect를 쓸일이 없으면 필요가 없습니다. 
 
mysql.max_persistent = 0

개인적으로 fread와 fgets도 막고 싶었으나, 테터툴즈가 설치가 되지 않는것을 발견하였습니다.
제 생각에는 위의 두 함수도 막아야 할꺼 같은데 말이죠.

로그인

PHP 보안관련 설정 권고사항

단축키

단축키

Who's ADMINPLAY

/etc/passwd 구조

리눅스용 각종 보안도구 사이트모음

매직키를 이용한 응급복구법

리눅스 보안 - 권한설정에 주의해야할 명령어들은 ?

[적용] iptables 접속 차단 스크립트

Modsecurity 무료 웹방화벽 설치

denyhosts (ssh, ftp 등의 접근 차단)

Modsecurity-apache 2.5.X 설치중 에러 server: /usr/lib/...

modsecurity-2.5 configure: *** apr library not found.

php 수호신 설치

php.ini 보안 설정

PHP 보안관련 설정 권고사항

해킹 당했는지 알아보는 방법

iptables와 mod_security 연동을 통한 ip 차단

iptables를 이용한 SSH brute force 공격방어

Modsecurity-apache 2.5.12

리눅스 해킹점검 가이드

웹어플리케이션 보안

보안 체킹 프로그램 - portsentry

[그누보드관련] $_POST 는 이미 오염된(?) 변수다.