[CaLViN]

PHP Ayarları (php.ini)


doc_root= PHP dosyalarının çalıştığı dizini belirtir.
- extension_dir= Eklentilerin (extensions) bulunduğu klasörü belirtir. PHP ile birlikte gelen kütüphanelerin bulunduğu dizini gösterir.
- extension=php_ornek.dll php.ini de listelenen dinamik eklentileri aktif hale getirmek için önündeki ; işareti kaldırılır.extension=php_gd2.dll (resim fonksiyonları: PHP: Image Functions - Manual )extension=php_oci8.dll (oci8 fonksiyonlar: PHP: Oracle Functions - Manual )extension=php_mysql.dll (mysql fonksiyonları: PHP: MySQL Functions - Manual )
- default_charset = Sayfaların varsayılan karakter setini belirtir. Türkçe için \ \ \ "iso–8859–9\ \ \ "
- include_path = include fonksiyonuyla çağırdığımız dosyaların(sayfalar) olduğu dizini belirtir.
- file_uploads =(On/off) Web üzerinden herhangi bir dosyanın gönderilip gönderilemeyeceğini belirler.
- upload_max_filesize = Transfer edilecek dosyaların maksimum dosya boyutunu belirler.
- display_errors = PHP sayfalarında bulunan hataların görüntülenip görüntülenmeyeceğini belirtir.
- error_reporting = Ne tür hataların görüntüleneceğini belirtir.E_ALL – Bütün hataları görüntüler.E_ALL & ~E_NOTICE – Uyarılar hariç bütün hata mesajlarını görüntüler.
- max_execution_time = PHP dosyalarının sunucuda maksimum çalışma zamanını belirtir. Örneğin; döngülerde yanlış bir işlem yaptığımızda sonsuz döngü olur ve devamlı çalıştırmaya çalışır. 30 saniye gibi bir değer verdiğimizde 30 saniye sonra sayfanın çalıştırılması durdurulacaktır.
- memory_limit = PHP dosyalarının bellekte tutabileceği maksimum hafızayı belirtir.
- post_max_size = Bir form aracılığıyla ziyaretçiden POST metoduyla alınabilecek maksimum veri miktarını belirtir.
- session. save_path = Oturum yönetiminde(session) sisteme kaydedilmesi gereken dosyaların nerede tutulması gerektiğini gösterir.


Apache Ayarları (httpd.conf)


- Timeout: İsteklerin geliş ve gönderilişleri arasında geçebilecek maksimum süre, bu süre aşıldığında, sunucu gelen isteği düşürür (yok sayar).
- DocumentRoot: Dosyaların sunulacağı dizini belirtir.
- ServerRoot: Apache’nin ana dizinini belirtir.
- ServerName: Web Sunucusunun Adi / Servis verilecek IP adresi
- BindAddress: Bu ayarla sanal sunucuları destekleyebilirsiniz. Bu yönerge sunucunun hangi IP adresini dinleyeceğini belirtir.
- Port: Tek başına (standalone) sunucunun dinlediği 'port'. Servis verilecek port/portlar belirtir.
- Listen: Normal 'port ' ve IP adresinin dışında, Apache 'nin belli IP adresi ve/veya 'port'u dinlemesini/cevap vermesini sağlar.
- AddLanguage: Bir dosyanın dilini belirtir.AddLanguage tr .tr
- AddCharset: Karakter setini belirtir.AddCharset ISO-8859-9 .iso8859-9 .latin9 .trk :

[Fesih BICER]

Aynı konuya devam edelim tam bir kaynak olsun.

Şimdi gelelim "php.ini" yapılandırmasına:

"disable_functions" (Güvenlik)

"disable_functions" ile serverınızda birçok fonksiyonun çalışmasını engelleyebilirsiniz bu sayede sitenize inject edilen scriptler, sheller için güvenliğinizi almış olursunuz. Bu kadar fonksiyon fazla gelebilir ama iyi bir güvenlik için şart.

Kod:

  disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual

Eğer bu kadar fonsiyonu devre dışı bırakmak fazla geldiyse alttaki gibi de ayarlayabilirsiniz bu da güvenliğiniz için yeterlidir:

Kod:

   disable_functions = glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute

"safe_mode" (Güvenlik)

"Safe Mode" adından da anlaşılacağı gibi "Güvenli Mod" anlamına geliyor. "Safe Mode" genelde birçok serverda "Off" durumdadır ve bu da birçok tehlikeye davetiye çıkaran unsurlar arasında yer alır. "Güvenli Modu Açık" durumuna getirmek shellerin serverımızda istedikleri gibi dolaşmalarını, exploitlerin çalıştırılmasını ve komutların execute edilmelerini önler. Günümüzde "açık olan güvenlik modunu" kapalı duruma getiren scriptler mevcut fakat altta anlatılan önlemlerle bunun da önüne geçilebilir.

Kod:

 safe_mode = on

çalışmayan script olursa httpd.conf ve .htaccess dosyasından kullanıcıya gerekli izin verilebilir. örnek aşağıdaki gibi

Kod:

php_flag safe_mode Off

"register_globals" (Güvenlik ve Performans)

php.ini dosyasında bulunan "post" "get" ile gönderilen değerlere kullanıcı adlarıyla ulaşılıp ulaşılamayacağını belirtir. Session, cookie değerlerini kendi adıyla tanımlayarak birer değişken olmasına neden olur. "Off" olarak ayarlanırsa bu gibi değerlere kendi tanımladığı şekilde ulaşılamaz.

Kod:

register_globals = off

çalışmayan script olursa on değerini htaccess dosyasına koyup sadece o siteye açabilirsiniz. veya httpd.conf dosyasına

Kod:

php_flag register_globals on

"allow_url_fopen" (Güvenlik)

"allow_url_fopen" default olarak "açık" şeklinde gelir ve bunun "on" açık olması "file_get_contents()", "include()", "require()" fonksiyonlar uzaktaki dosyaları da işlemesine olanak tanır. Bunlara verilen bilgiler hiçbir kontrolden geçirilmezse kritik güvenlik açıklarını sebep olur. (eğer safe mode açıksa ve open basedir aktif ise bunun açık kalmasında hiç bir sorun yok. Kapalı kalması durumunda bir çok script çalışmaz. en basit örnek olarak php nuke çalışmaz.)

Kod:

allow_url_fopen = off

"display_errors" (Güvenlik)

Bu seçenek sitenizin çalışmasında oluşacak bir hatayı tarayıcıya yansıtıp yansıtmayacağını belirler yani siteniz için diyelim bir forum veya portal kullanıyorsunuz ve bunların çalışması esnasında genelde "Fatal error: Call to undefined function get_header() in /home/ahmo/public_html/index.php on line 37" şeklinde benzeri hata görülür bunların gözükmesini engellemek için bu değeri kapalı duruma getirmek gerekir zira kötü niyetli kişiler sitenizin serverda bulunan tam yolunu öğrenmiş olurlar.
(Eğer safe mod açık ve open basedir aktif ise bunu kapatmanıza gerek yoktur. zira bu tür hatalar ayrıca scriptinde hata neresinde olduğunu gösterdiği için host kullanıcısına sitesini düzenlemesi için büyük kolaylık sağlıyor.)

Kod:

display_errors = Off

"cgi.force_redirect" (Güvenlik)

Bu değer normalde "on" "1" yani açık olarak gelir ve Windows sunucularında IIS, OmniHTTPD gibi buralarda kapatılması gerekir. Kendi sunucunuz için bu durum yoksa değiştirmenize gerek yoktur.

Kod:

cgi.force_redirect = 0

"magic_quotes_gpc" (Güvenlik ve Performans)

Magic Quotes işlemi GET/POST yöntemiyle gelen Cookie datasını otomatikmen PHP script'e kaçırır. Önerilen bu değerin kapalı olmasıdır.

Kod:

magic_quotes_gpc = off

"magic_quotes_runtime" (Güvenlik ve Performans)

Magic quotes çalışma sürecinde data oluşturur, SQL'den exec()'den, vb.

Önerilen:

Kod:

magic_quotes_runtime = Off

"magic_quotes_sybase" (Güvenlik ve Performans)

Sybase-style magic quotes kullanır (Bunun yerine \' ' bununla '' kaçırır)

Kod:

 magic_quotes_sybase = Off

"session.use_trans_sid" (Güvenlik)

Bu ayarı dikkatli ayarlayın, kullanıcı emaile aktif oturum ID'si içeren URL gönderebilir
kullnıcının güvenliği için bunu kapatıyoruz.

Önerilen:

Kod:

session.use_trans_sid = off

"expose_php" (Güvenlik)

"expose_php" açık ise kapalı yapılması önerilir. Aksi takdirde PHP ile yaptığınız herşeyde sunucu tarafından PHP sürümü gibi bilgiler gösterilir. Hackerlar hatta Lamerlar bu bilgileri severler (ne boh anlıyorlarsa sanki). Bunları engellemek için "off" konumuna getiriniz.

Kod:

expose_php = Off

"html_errors" (Güvenlik)

Bu değerin açık olması durumunda PHP tıklanabilir hata mesajları üretecektir. Kapalı olması güvenlik için önerilir. başında ";" işareti varsa kaldırıyoruz ve değeri kapatıyoruz.

Kod:

html_errors = off

"max_execution_time" (Güvenlik)

Scriptinizi maksimum uygulamayı yürütme zamanı mesela kullanıcı bir linke tıkladı ve bu linkin açılması belirtilen saniyeden fazla olursa sayfa sitenizin serverda bulunduğu tam yolu göstererek hata verir. Bu hataların gözükmesi güvenlik açısından sakıncalıdır. 300 saniye yazan yeri istediğiniz zaman ile değiştirebilirsiniz. bana kalırsa bırakın yolu görsün çok fazla sayfa beklerse extra yğunluk demektir. direk bırakın hata versin. süreyi 30 yapalım.

Kod:

max_execution_time = 30

"max_input_time" (Güvenlik)

Scriptinizin aynı şekilde bir dataya ulaşmak için istek yolladığında maksimum geçen zaman 60 yapalım. fazla bile

Kod:

max_input_time = 60

"allow_call_time_pass_reference" (Performans)

Fonksiyonların çağrılma zamanında yaşanan uyumsuzluklarla ilgili uyarı verir.
örneğin ilk belittiğimiz yasak komutlarda hiç bir uyarı vermeden bom boş sayfa çıkarır karşıya. böyle bir durumda scripte bakmaktansa tekrar bunu açık duruma getirirsiniz hatayı gördükten sonra tekrar kapatın fonksiyonu.

Kod:

allow_call_time_pass_reference = off

"enable_dl" (Güvenlik)

Bu değerin "off" kapalı olması gerekir aksi halde kişilerin sistemde php modüllerinde çalışma yapmasına olanak sağlar ve sistemde rahat dolaşmalarını sağlar güvenlik için kesinlikle kapalı olması gerekir.

Kod:

enable_dl = off

"track_errors" (Güvenlik ve Performans)

Sürücülerde meydana gelen hatalarda yetki verildiği taktirde hata mesajı errormsg olarak değişkende gösterilir.

track_errors = Off



"file_uploads" (Güvenlik)

Eğer sunucda tek site barındırıyorsanız ve o sitede her hangi birşey sunucuya yükletilmiyorsa kapalı kalmasında yarar var. Ama çoklu site barındırıyorsanız. Günümüzdeki tüm siteler artık avatardır, dosya v.s uploat ediyor karar sizin.
ben yine kapatın diyeyimde.

Kod:

file_uploads = off

"ignore_repeated_errors" (Güvenlik ve Performans)

Kapalı olursa tekrarlanan hataları loglamaz.

ignore_repeated_errors = Off



"ignore_repeated_source" (Güvenlik ve Performans)

Tekrarlanan mesajlar engellendiğinde, mesaj kaynağını engeller Bu ayar açık yapıldığında hataları loglamayacaktır farklı dosyalardan ya da kaynaklardan tekrarlanan mesajlarla.

ignore_repeated_source = Off



"display_startup_errors" (Güvenlik ve Performans)

"display_errors" değeri "on" açık olsa bile, Php'nin çalışma sırasında meydana gelen hatalar gözükmeyecektir. Bu değerin şiddetle "off" kapalı duruma getirilmesi önerilir.

Kod:

display_startup_errors = off

"safe_mode_gid" (Güvenlik)

UID - GID kontrollerini sadece UID ile yapmasına izin verir böylece aynı grupta dosyalar bulunsa bile göremezler yani serverda bulunan diğer clientların scriptlerini v.s görmeleri engellenir.

Kod:

safe_mode_gid = Off

"output_buffering = 4096" (Performans)

4 KB'lik bir tampon çıktısı ayarlar "output buffer"

Kod:

output_buffering = 4096

"register_argc_argv" (Performans)

Kapalı olursa gereksiz ARGV ve ARGC kayıtlarını önler. PHP nin ARGV ve ARGC değişkenlerini bildirip bildirmemesini anlatır.

Kod:

 register_argc_argv = Off

"php_value session.use_trans_sid - php_value session.use_only_cookies"

Bu şekilde ayarlanması URL'deki PHPSESSID bilgilerini kaldırır.
seo filan yapanlar için uygun. genlede smf, phpbb forumlarda ve sension koruma uyguladığınız scriptler için PHPSESSID bilgilerini url ye eklemez. başlarında ; işareti varsa kaldırın.

Kod:

session.use_trans_sid = 0
session.use_only_cookies = 1

"session.auto_start"

Oturum başlatmayı başlangıçta isteme

session.auto_start = 0



"session.cookie_lifetime"

Cookie'nin zaman ayarı

session.cookie_lifetime = 0


"memory_limit"

Scriptin tükettiği maksimum hafıza miktarı
değeri istediğinizgibi verin. 8M çokfazla bir değer. sadece kendi siteniz barınıyorsa bu değer normal. ama host ile uğraşıyorsanız 512K yapmanız daha uygun.

Kod:

memory_limit = 8M

"post_max_size"

PHP'nin kabul edeceği maksimum POST data boyutu.
isteğinize bağlı 1 Mb vermek için 1M yazın

Kod:

post_max_size = 256K

"upload_max_filesize"

Upload edilen dosyaların maksimum boyutu
buda sizin isteğinize bağlı isterseniz 50M yapın. o zaman kullanıcı 50 Mb'a kadar dosya upload edebilir.

Kod:

upload_max_filesize = 256K

"variables_order"

(Ortam, GET, POST, Çerez, Sunucu) bunların işlenmedeki sıralarını belirler.

variables_order = "EGPCS"

Bu kadar ondan sonra ctrl x y diyip kaydediyoruz ve
service httpd restart diyoruz.

Genelde çoğu fonksiyon zaten böyle dediğim değerdedir. 3-5 tanesi hariç tabi. Yeni başlayan arkadaşlar için anlattımki hangisi ne işe yarar öğrenmiş olsunlar.

[misc]

bunları htaccess ile yapmak mümkün değilmidir?

[Tickhi]

Alıntı:

misc´isimli üyeden Alıntı

bunları htaccess ile yapmak mümkün değilmidir?

safe mode haricindekileri ssh den yapmak zorundasınız

[Lineservers]

yararlı bilgi olmuş. ellerinize sağlık

[byilyas]

Değerli bir kaynak olmuş bende eklemek isterdim ama aklıma farklı bişey gelmedi Fesih hocama doldurmuş bize bırakmamış elinize sağlık

[Cedric]

bilgiler için ellerinize sağlık. çok teşekkürler.

ama bir php'ci olarak bir hosting firması sahibi ile de kavga etmiştim. demek o da buradaki yazıya bakıp ayarlamış )))

güvenli mod nedir ya

o zaman windowsu da güvenli kipte kullanalım sakata gelmeyelim.