数据库服务配置加固
mysql_secure_installation
执行mysql_secure_installation脚本,完成安全设置。默认设置很方便,也很不安全
需要为MariaDB/MySQL的test库、空密码等默认设置填坑。
??生产环境建议运行此脚本,并仔细完成所有安全优化操作。
修复Web连数据库的设置,确保论坛仍然可用
- 用vim修改 /var/www/html/bbs/config/config_global.php,指定新设置的数据库密码。
- 用vim修改 /var/www/html/bbs/config/config_ucenter.php,指定新设置的数据库密码。
调整连接配置文件的权限
- 去掉 /var/www/html/bbs/config/config_global.php 文件的其他人的 r 读取权限。
- 去掉 /var/www/html/bbs/config/config_ucenter.php 文件的其他人的 r 读取权限。
WEB服务配置加固
httpd.conf常规配置
- DocumentRoot:设置本网站的网页根目录。
- Listen:设置在本机监听Web服务的IP地址及端口。
- DirectoryIndex:设置访问网站目录时的默认网页文件名。
- ServerName:设置本网站注册的DNS名称(即完整域名)。
隐藏Web版本信息
- 通过浏览器/扫描工具很容易获取Web服务端的软件版本信息。
- 通过隐藏版本细节,可以提高侦察难度。
保护网页目录
默认配置的httpd允许自动列出目录下所有资源,也允许链接文件指向外部目录。
安全防护
提高Linux服务器主机SSH防爆破
- 禁止直接以root用户SSH登录。
- 允许用户SSH登录,然后再通过su -切换为root(或者授予sudo权限)。
要提高LAMP网站的防护能力,通常从以下方面着手:
降低Web数据库的安全风险
- 网络防护:防火墙(安全组规则)、流量限制。
- 服务防护:不提供网络监听/只面向本机、提供网络监听/面向内网个别Web主机或管理机。
- 用户授权:严格限制用户访问权限(不要轻易给root,不要轻易给all)、来源地址(不要轻易面向所有主机)。
- Web接入:严格控制Web接入的账号设置(包括账号设置文件的访问权限)
比如:/var/www/html/bbs/config/config_global.php 记录了前台Web系统如何访问数据库。
比如:/var/www/html/bbs/config/config_ucenter.php 记录了后台Web系统如何访问数据库。
5. 后端代码的优化。
Web服务的安全加固
- Web服务配置优化(隐藏版本信息、伪装版本信息-修改源代码重编译、拒绝自动索引、拒绝使用连接文件、……)。
- PHP解析环境配置(关闭系统调用函数、关闭文件上传、图片支持、文件压缩、……)。
- 网络防火墙、系统防火墙、SELinux、SSH远程访问控制、su/sudo的使用和跟踪。
- Web程序代码的优化(SQL注入的输入验证)。
- WAF防火墙等。
??默认情况下,各种云服务器的防护墙、SELinux都是关闭的。
??云服务商会提供安全防护产品(基础主机防护、云备份、WAF防火墙、DDoS高防、负载均衡、CDN等)
文章知识点与官方知识档案匹配,可进一步学习相关知识网络技能树首页概览22643 人正在系统学习中
来源:暮月微凉Zz
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!