簡明的伺服器安全加固建議

2021-08-14 08:35:07 字數 2407 閱讀 5086

以root許可權登入到linux作業系統,首先執行「setup」命令,選擇「firewallconfiguration」,在「security level」裡,選擇「(*) enabled」啟用作業系統防火牆。

案例1:如果需要開放特定的服務,如需要開放mysql服務給任意主機使用,則編輯iptables配置檔案,設定開放哪些對外服務。

#vi/etc/sysconfig/iptables

加入一行:

-arh-firewall-1-input -m state --state new -m tcp -p tcp --dport 3306 -j accept

其中3306為需要對外開放的服務埠。

繼而重啟iptables服務即可。

#service iptablesrestart

案例2:如果需要開放特定的服務,如需要開放mysql服務給特定的一台主機,如192.168.100.5使用,則可以:

#vi/etc/sysconfig/iptables

加入一行:

-arh-firewall-1-input -m state --state new -m tcp -s 192.168.100.5 -p tcp --dport3306 -j accept

其中3306為需要對外開放的服務埠。

繼而重啟iptables服務即可。

#service iptablesrestart

可根據實際情況,調整需要修改的檔案許可權。如,需要把 /var/www目錄下所有檔案的許可權全部改為 644,則可以輸入

find /var/www-type f |xargs chmod 644

需要把所有 777 許可權的目錄調整為700,則可以輸入:

find /var/www-type d -perm 777 |xargs chmod 700

需要把所有 php 檔案的許可權調整為600,則可以輸入:

find . -name"*.php" -type f |xargs chmod 600

a  去除目錄的瀏覽、包含等指令

方法:用文字編輯器開啟apache配置檔案httpd.conf,搜尋是否存在indexes或者+indexes字樣,如有應去除,改為-indexes,如下:

order allow,deny

allow from all

options  -includes -indexs multiviews

用文字編輯器開啟apache配置檔案httpd.conf,增加以下配置

deny from all

order allow,deny

allow from all

options –includes –indexs –multiviews

限制不能使用trace、track、options等方法,

rewriteengine on

rewritecond % ^(trace|track|options)

rewriterule .* - [f]

如果有多個虛擬主機,需要在每個主機都要加入以上配置。

方法:用文字編輯器檢查httpd.conf,檢視user和group指令對應的使用者名稱和組別名稱。這個使用者在/etc/passwd列表裡,應該為/sbin/nologin 的執行環境,而不應該有類似這樣的執行環境:/bin/bash

#如在httpd.conf裡使用者和組別為

user nobody

group nobody

#在/etc/passwd裡為

nobody:x:99:99:nobody:/:/sbin/nologin

如linux,設定web伺服器

應該定義自己的錯誤頁面,避免由於執行出錯時洩露敏感資訊

errordocument         401           /custom401.html

errordocument         404           /custom404.html

errordocument         500           /custom500.html

order deny,allow

allow from all

如果apache後台有使用tomcat、websphere、weblogic、resin等應用伺服器,應該加上禁止通過apache訪問/web-inf目錄的限制,以免由於apache應用服務聯結器的設定漏洞,導致的配置檔案資訊洩露。

loadmodulerewrite_module modules/mod_rewrite.so

rewriteengine on

rewriterule /web-inf

伺服器安全加固

注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...

SQL伺服器安全加固

步驟 說明 mdac公升級 安裝最新的mdac http www.microsoft.com data download.htm 密碼策略 由於sql server 不能更改 sa使用者名稱,也不能刪除這個超級使用者,所以,我們必須對這個帳號進行最強的保護,當然,包括使用乙個非常強壯的密碼,最好不要...

Linux伺服器安全加固

一 修改密碼和ssh登入埠,並且盡可能的用金鑰對登入,禁止用密碼登入 主要針對linux 二 修改 etc hosts.allow 設定僅僅允許某幾台去ssh sshd 45.195.修改 etc hosts.deny sshd all in.telnet all 三 把系統中的一些不必要的使用者和...