以root許可權登入到linux作業系統,首先執行「setup」命令,選擇「firewallconfiguration」,在「security level」裡,選擇「(*) enabled」啟用作業系統防火牆。
案例1:如果需要開放特定的服務,如需要開放mysql服務給任意主機使用,則編輯iptables配置檔案,設定開放哪些對外服務。
#vi/etc/sysconfig/iptables
加入一行:
-arh-firewall-1-input -m state --state new -m tcp -p tcp --dport 3306 -j accept
其中3306為需要對外開放的服務埠。
繼而重啟iptables服務即可。
#service iptablesrestart
案例2:如果需要開放特定的服務,如需要開放mysql服務給特定的一台主機,如192.168.100.5使用,則可以:
#vi/etc/sysconfig/iptables
加入一行:
-arh-firewall-1-input -m state --state new -m tcp -s 192.168.100.5 -p tcp --dport3306 -j accept
其中3306為需要對外開放的服務埠。
繼而重啟iptables服務即可。
#service iptablesrestart
可根據實際情況,調整需要修改的檔案許可權。如,需要把 /var/www目錄下所有檔案的許可權全部改為 644,則可以輸入
find /var/www-type f |xargs chmod 644
需要把所有 777 許可權的目錄調整為700,則可以輸入:
find /var/www-type d -perm 777 |xargs chmod 700
需要把所有 php 檔案的許可權調整為600,則可以輸入:
find . -name"*.php" -type f |xargs chmod 600
a 去除目錄的瀏覽、包含等指令
方法:用文字編輯器開啟apache配置檔案httpd.conf,搜尋是否存在indexes或者+indexes字樣,如有應去除,改為-indexes,如下:
order allow,deny
allow from all
options -includes -indexs multiviews
用文字編輯器開啟apache配置檔案httpd.conf,增加以下配置
deny from all
order allow,deny
allow from all
options –includes –indexs –multiviews
限制不能使用trace、track、options等方法,
rewriteengine on
rewritecond % ^(trace|track|options)
rewriterule .* - [f]
如果有多個虛擬主機,需要在每個主機都要加入以上配置。
方法:用文字編輯器檢查httpd.conf,檢視user和group指令對應的使用者名稱和組別名稱。這個使用者在/etc/passwd列表裡,應該為/sbin/nologin 的執行環境,而不應該有類似這樣的執行環境:/bin/bash
#如在httpd.conf裡使用者和組別為
user nobody
group nobody
#在/etc/passwd裡為
nobody:x:99:99:nobody:/:/sbin/nologin
如linux,設定web伺服器
應該定義自己的錯誤頁面,避免由於執行出錯時洩露敏感資訊
errordocument 401 /custom401.html
errordocument 404 /custom404.html
errordocument 500 /custom500.html
order deny,allow
allow from all
如果apache後台有使用tomcat、websphere、weblogic、resin等應用伺服器,應該加上禁止通過apache訪問/web-inf目錄的限制,以免由於apache應用服務聯結器的設定漏洞,導致的配置檔案資訊洩露。
loadmodulerewrite_module modules/mod_rewrite.so
rewriteengine on
rewriterule /web-inf
伺服器安全加固
注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...
SQL伺服器安全加固
步驟 說明 mdac公升級 安裝最新的mdac http www.microsoft.com data download.htm 密碼策略 由於sql server 不能更改 sa使用者名稱,也不能刪除這個超級使用者,所以,我們必須對這個帳號進行最強的保護,當然,包括使用乙個非常強壯的密碼,最好不要...
Linux伺服器安全加固
一 修改密碼和ssh登入埠,並且盡可能的用金鑰對登入,禁止用密碼登入 主要針對linux 二 修改 etc hosts.allow 設定僅僅允許某幾台去ssh sshd 45.195.修改 etc hosts.deny sshd all in.telnet all 三 把系統中的一些不必要的使用者和...