9

我想在 Codeigniter 中使用 phpass-0.3,但由于以下原因出现以下错误open_basedir

遇到 PHP 错误
严重性:警告
消息:is_readable() [function.is-readable]:open_basedir 限制生效。文件(/dev/urandom)不在允许的路径中:(/home/phginep:/usr/lib/php:/usr/local/lib/php:/tmp)
文件名:phpass-0.3/PasswordHash。 php
行号:51

以下代码:

function get_random_bytes($count)
{
    $output = '';
    if (is_readable('/dev/urandom') &&    //Line Number: 51
        ($fh = @fopen('/dev/urandom', 'rb'))) {
        $output = fread($fh, $count);
        fclose($fh);
    }

    if (strlen($output) < $count) {
        $output = '';
        for ($i = 0; $i < $count; $i += 16) {
            $this->random_state =
                md5(microtime() . $this->random_state);
            $output .=
                pack('H*', md5($this->random_state));
        }
        $output = substr($output, 0, $count);
    }

    return $output;
}

我能做些什么来解决这个问题吗?

4

4 回答 4

16

您在这里有一些选择:

1 - 从真正的 RNG 下载转储(这个提供基于放射性衰变的转储)并使用它,只要确保您不要一直读取相同的 nn 个字节。有点笨重,但是一个选择。

/dev/urandom2 - 让 PHP 执行代表它读取的内容(UGLY)

3 - 回退mt_rand()(也很难看,但我已经看到这样做了):

 for ($i = 0; $i < $count / 8; $i++) {
   $output .= dechex(mt_rand(0, 0x7fffffff));
 }

不幸的是,所有选项都笨拙且丑陋。最好的办法是确保您不必处理open_basedir. 不过,这种特殊的烦恼是可以解决的。

最后 - 不太可能与您的主人一起飞行,但也许值得一试:

您可以要求您的主机urandom在您的主目录中提供,以便您阅读它。告诉他们您需要访问 urandom 以生成随机数,以便为您的用户提供更好的安全性,然后让他们运行:

mknod urandom c 1 9

在您的主目录中。我只是在我自己的服务器上尝试过,它可以工作(但 root 需要为你做)。没有实际理由阻止您使用系统的伪随机数生成器,您可以使用 PHP 以外的任何其他方式执行此操作。这实际上是他们让您访问的最简单的方法,urandom因为它不需要 PHP 或 vhost 配置中的任何例外。

禁止访问/dev/random是一件合理的事情,因为/dev/random必须通过可用的(新)系统熵来补充,并且如果用尽,可能会导致重要的事情在读取时被阻塞,这可能在低流量服务器上经常发生。但是,/dev/urandom保证永远不会阻塞,因为它只是在耗尽后重用内部熵池,这就是为什么它是质量较差的源。

笔记

我并不是说 的想法open_basedir一个坏的想法,但它也破坏了好的代码。经典chroot要好得多,但更难,这就是为什么你遇到open_basedir的问题比真正的 chroot 多得多。至少,任何程序都应该能够访问服务器上nullzerourandom设备。

于 2012-04-28T14:05:21.300 回答
6

phpass 正在尝试访问/dev/urandom,这在您的中是不允许的。php.ini 要解决此问题,您必须禁止显示警告。为此,只需添加@before is_readable,如下所示:

...
@is_readable('/dev/urandom')
...
于 2012-06-28T10:45:39.173 回答
0

看起来您使用的是共享主机托管,并且他们已将 PHP 配置为仅允许您访问帐户中的文件和目录(这是有道理的)。如果是这种情况,您无能为力,因为共享主机不允许更改以允许您访问该资源。如果您有专用服务器或 VPS,您可以更改您的 PHP 配置 (php.ini) 以允许访问该资源。

于 2012-04-28T12:27:40.863 回答
0 
cd /nginx/chroot/
touch random
touch urandom
mount --bind /dev/random /nginx/chroot/dev/random
mount --bind /dev/urandom /nginx/chroot/dev/urandom

我的 phpmailer 现在已经在 nginx chroot centos 7 中工作了

php nginx RAND_BYTES stream_socket_enable_crypto php nginx stream_socket_enable_crypto 未捕获的异常:无法打开源设备 php nginx RAND_BYTES stream_socket_enable_crypto stream_socket_enable_crypto(): SSL

于 2018-03-02T18:41:16.933 回答