簡明的伺服器安全加固建議
0x01 linux 基線安全
1 Linux系統埠加固
以root許可權登入到Linux作業系統,首先執行“setup”命令,選擇“Firewallconfiguration”,在“Security Level”裡,選擇“(*) Enabled”啟用作業系統防火牆。
案例1:如果需要開放特定的服務,如需要開放mysql服務給任意主機使用,則編輯iptables配置檔案,設定開放哪些對外服務。
#vi/etc/sysconfig/iptables
加入一行:
-ARH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
其中3306為需要對外開放的服務埠。
繼而重啟IPTABLES服務即可。
#service iptablesrestart
案例2:如果需要開放特定的服務,如需要開放mysql服務給特定的一臺主機,如192.168.100.5使用,則可以:
#vi/etc/sysconfig/iptables
加入一行:
-ARH-Firewall-1-INPUT -m state --state NEW -m tcp -s 192.168.100.5 -p tcp --dport3306 -j ACCEPT
其中3306為需要對外開放的服務埠。
繼而重啟IPTABLES服務即可。
#service iptablesrestart
2 Linux網頁檔案許可權調整。
可根據實際情況,調整需要修改的檔案許可權。如,需要把 /var/www目錄下所有檔案的許可權全部改為 644,則可以輸入
find /var/www-type f |xargs chmod 644
需要把所有 777 許可權的目錄調整為700,則可以輸入:
find /var/www-type d -perm 777 |xargs chmod 700
需要把所有 php 檔案的許可權調整為600,則可以輸入:
find . -name"*.php" -type f |xargs chmod 600
3 安全加固和檢查
A 去除目錄的瀏覽、包含等指令
方法:用文字編輯器開啟Apache配置檔案httpd.conf,搜尋是否存在Indexes或者+Indexes字樣,如有應去除,改為-Indexes,如下:
<Directory/usr/local/apache/htdocs/>
Order allow,deny
Allow from all
Options -Includes -Indexs Multiviews
</Directory>
0X02 POST方法
1 POST 方法
用文字編輯器開啟Apache配置檔案httpd.conf,增加以下配置
<Directory /usr/local/apache/htdocs/> <LimitExcept GET POST> deny from all </LimitExcept> Order allow,deny Allow from all Options –Includes –Indexs –Multiviews </Directory> |
限制不能使用TRACE、TRACK、OPTIONS等方法,方法:用文字編輯器開啟Apache配置檔案httpd.conf,增加以下配置
RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) RewriteRule .* - [F] |
如果有多個虛擬主機,需要在每個主機都要加入以上配置。
2 執行使用者和組
方法:用文字編輯器檢查httpd.conf,檢視User和Group指令對應的使用者名稱和組別名稱。這個使用者在/etc/passwd列表裡,應該為/sbin/nologin 的執行環境,而不應該有類似這樣的執行環境:/bin/bash
#如在httpd.conf裡使用者和組別為
User nobody
Group nobody
#在/etc/passwd裡為
nobody:x:99:99:Nobody:/:/sbin/nologin
3 伺服器帳號
如Linux,設定web伺服器
passwd -lwebserv
usemod -s /bin/nolo httpuser
#編輯httpd.conf配置檔案,把以下幾個指令如下設定:
ServerSignatureOff
ServerTokensProd
4 錯誤提示頁面
應該定義自己的錯誤頁面,避免由於執行出錯時洩露敏感資訊
ErrorDocument 401 /custom401.html
ErrorDocument 404 /custom404.html
ErrorDocument 500 /custom500.html
5 副檔名,如.php.gif
<Files ~"^\w+\.(gif|jpe?g|png|avi)$">
order deny,allow
allow from all
</Files>
6 不允許訪問/WEB-INF/目錄
如果Apache後臺有使用Tomcat、WebSphere、WebLogic、Resin等應用伺服器,應該加上禁止通過Apache訪問/WEB-INF目錄的限制,以免由於Apache應用服務聯結器的設定漏洞,導致的配置檔案資訊洩露。
方法:編輯httpd.conf檔案,加入:
LoadModulerewrite_module modules/mod_rewrite.so
RewriteEngine on
RewriteRule /WEB-INF
歡迎大家分享更好的思路,熱切期待^^_^^ !
相關推薦
簡明的伺服器安全加固建議
0x01 linux 基線安全 1 Linux系統埠加固 以root許可權登入到Linux作業系統,首先執行“setup”命令,選擇“Firewallconfiguration”,在“Secu
Linux伺服器安全加固
對未經過安全認證的RPM包進行安全檢查 rpm -qp xxx.rpm --scripts 檢視rpm包中的指令碼資訊 對使用者的登入次數進行限制 有一些攻擊性的軟體是專門採用暴力破解密碼的形式反覆進行登入嘗試,對於這種情況,我們可以調整使用者登入次數
Nginx伺服器安全加固tips整理
公司各業務網站大多用到Nginx,花了點時間整理了一下Nginx伺服器安全加固的各類tips。 預設配置檔案和Nginx埠 /usr/local/nginx/conf/-Nginx配置檔案目錄,/usr/local/nginx/conf/nginx.conf是主配置檔案 /usr/loc
Centos 5.5 LINUX伺服器的安全加固配置方法
[size=13.63636302947998px]CentOS的安全配置 一、系統安全記錄檔案 作業系統內部的記錄檔案是檢測是否有網路入侵的重要線索。如果您的系統是直接連到Internet,您發現有很多人對您的 系統做Telnet/FTP登入嘗試,可以執行”#more /var/log/secure | g
Linux伺服器安全配置加固防護方法
本文詳細總結了PHP網站在Linux伺服器上面的安全配置,包含PHP安全、mysql資料庫安全、web伺服器安全、木馬查殺和防範等,很好很強大很安全。(如果需要深入的安全部署建議找專業做安全的國內公司如:Sinesafe,綠盟,啟明星辰等等都是比較不錯的專業做網站安全的公司)
如何在 CentOS 7 中安裝、配置和安全加固 FTP 服務
cte success fire lease 註意 tps tran sub linux 步驟 1:安裝 FTP 服務器 1、 安裝 vsftpd 服務器很直接,只要在終端運行下面的命令。 # yum install vsftpd 2、 安裝完成後,服務先是被禁用的,因
sshd安全加固小技巧
安全# 修改sshd默認端口 比如將默認端口22改為2222 # 在默認配置文件 /etc/ssh/sshd_config 追加如下內容( 將arcfour cipher 停用) Ciphers aes128-ctr,aes192-ctr,aes256-ctr # 禁用弱MAC算法,在默認配置文件 /et
lamp下mysql安全加固
usr affect 安全加固 並且 狀態 連接數 revoke dom 不能 1.修改root用戶口令,刪除空口令 缺省安裝的MySQL的root用戶是空密碼的,為了安全起見,必須修改為強密碼,所謂的強密碼,至少8位,由字母、數字和符號組成的不規律密碼。使用MySQL自
3 Web服務器安全加固
mar spa 重定向 linux 3.4 錯誤頁 col 文件 http 3 Web服務器安全加固... 433.1 啟用日誌記錄功能... 433.2 HTTPS協議... 443.3 Tomcat錯誤頁面重定向... 453.4 禁止tomcat列表顯示文件表2-1
2 數據庫安全加固
2.7 sql 宋體 運行 禁止 font 本地文件 ont 關於 2 數據庫安全加固... 282.1 修改root用戶默認口令,刪除空口令... 302.2 刪除默認數據庫和非必要數據庫用戶... 312.3 使用獨立用戶運行msyql322.4 關於非root數據庫用
1 操作系統安全加固
補丁 重新 等等 huawei lin nologin 提醒 設備 ali 1 操作系統安全加固... vi1.1 Linux安全加固... vi1.1.1 對系統賬號進行登錄限制... vi1.1.2 設置登錄超時時間... vii1.1.3 設置關鍵目錄的權限... v
Linux下PHP網站安全加固配置
Nginx web安全 php PHP安全配置:1、 disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,
CentOS 6.5 安全加固
系統安全配置CentOS 6.5安全加固及性能優化我們可以通過調整系統參數來提高系統內存、CPU、內核資源的占用,通過禁用不必要的服務、端口,來提高系統的安全性,更好的發揮系統的可用性。通過自己對Linux了解,對系統調優做了如下小結。說明:經常玩Linux系統的朋友多多少少也知道些系統參數優化和怎樣增強系統
Web建站安全防護建議
服務器安全最近自己建了個網站,網站安全搞了一陣,閑來沒事就寫寫總結,方便以後查看。 建議 服務器上能少開的端口就少開 服務器最好禁ping 服務器最好使用秘鑰登錄,禁止root賬號登錄 應用程序千萬不要使用root啟動!!mysql、nginx、java程序這些最好用其他用戶啟動。還有,運行的用戶不允許對源
Tomcat安裝部署和安全加固優化以及反向代理應用
proto 用戶 app home con 配置文件 ftw 並發 環境變量 1、Tomcat介紹 Tomcat是Apache軟件基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun和其他一些公司及個人
安全加固導致的阿裏雲ECS升級內核失敗無法啟動
阿裏雲centos7升級內核失敗 內核升級失敗還原 升級前內核 #uname -r 3.10.0-693.11.1.el7.x86_64 以下是官方的操作文檔 #vim /etc/dracut.conf.d/virt-drivers.conf add_drivers+="xen-blkfront x
華為公有雲linux服務器上ssh登錄的安全加固
進行 art 51cto stat 可能 密鑰登錄 lin sha table linux服務器主要是通過ssh進行登錄,但是在華為公有雲上,如何保證登錄安全性呢?本次以centos7為例,對ssh登錄進行安全加固 修改默認端口 在linux上,修改ssh登錄的默認端口,
SSH安全加固後不密碼登錄異常
stack cto The mct tex key water pen 1.5 最近在折騰openstack封裝鏡像,基礎軟件安裝、優化、安全加固後封裝,創建虛擬機登錄,發現報Permission denied (publickey).異常,根據字面意思是公鑰的問
WINDOWS安全加固
SMB服務 控制 保持 比較 計算 大小寫 遠程管理 image 更改 賬號密碼的加固windows密碼加密:windows對用戶的密碼進行加密時,是7位為一組做次hash運算,所以我們制定密碼時密碼的位數最好提7的倍數,其實這就解釋了為什麽7位的密碼其實比8位的密碼更安全
Linux伺服器安全策略
1.常見的伺服器攻擊型別 (1)密碼暴力破解攻擊 密碼暴力破解攻擊的目的是破解使用者的密碼,從而進入伺服器獲取系統資源或者是進行破壞。 (2)拒絕服務攻擊 拒絕服務攻擊基本原理就是利用合理的服務請求來佔用過多的服務資源,從而使網路阻塞或者伺服器宕機,導致Linux伺服器無法為正常