資訊保安 安全加固

2021-10-11 03:00:58 字數 2692 閱讀 4344

為了防止黑客獲取伺服器中 php 版本資訊,如x-powered-by:php/5.3.7,最好關閉顯示 php 版本資訊,在配置檔案中追加以下資訊:

expose_php = off
預設情況下,php錯誤資訊會將程式出錯的原因顯示到瀏覽器上,容易造成敏感資訊洩露。

# 關閉錯誤顯示


display_errors = off


# 記錄日誌


log_errors = on


# 設定日誌位置,便於開發排查原因(該檔案web伺服器使用者必須可寫)


error_log = /var/logs/php_error.log
使用open_basedir選項能夠控制 php 指令碼只能訪問指定的目錄,這樣能夠避免 php 指令碼訪問不應該訪問的檔案,一定程式限制 phpshell的危害訪問:

open_basedir =


/usr/www
禁止一些危險的系統命令函式,例如system()或者能夠檢視 php 資訊的phpinfo()函式等:

以下只針對內建函式,無法限制使用者自定義的函式

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open


# 禁止檔案和目錄操作的函式


disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp, chmod, chown
redis 是乙個完全免費開源的非關係型資料庫,採用鍵值對的方式儲存資料。出現最為嚴重的為未授權訪問漏洞

配置完成後,需要重啟服務

vim /etc/redis/redis.conf # 編輯redis配置檔案


requirepass *** (新增連線密碼)


# 建立用於執行redis的賬號,禁用賬號的登陸許可權


useradd -m -s /sbin/nologin [username]
es 是乙個基於 lucene 的搜尋伺服器,提供了乙個分布式多使用者能力的全文搜尋引擎,基於 restful web介面,在網際網路企業中也是應用十分廣泛的乙個系統。近年來出現的es資訊洩露事件都是由於es配置不當所致。

原本es認證需要啟用x-pack功能,該功能需要認證。自6.8之後開始免費提供認證功能。

及時更新補丁,關閉不必要的賬號與服務等。

檢查賬號與賬戶組,確定管理員組內賬號無異常,無共享、共有賬號,禁用來賓賬號。

修改組策略密碼設定策略:

1、計算機配置–windows設定–安全設定–賬戶策略–密碼策略–密碼必須符合複雜性要求:已啟用。

2、計算機配置–windows設定–安全設定–賬戶策略–密碼策略–密碼長度最小值:8個字元。

3、計算機配置–windows設定–安全設定–賬戶策略–密碼策略–密碼最長使用期限:90天。

4、計算機配置–windows設定–安全設定–賬戶策略–密碼策略–強制密碼歷史:3個記住的密碼。

賬戶鎖定策略,可以防止惡意攻擊者對賬號進行暴力破解,但是無法防止惡意攻擊者故意dos造成賬號鎖死。

將除審核策略更改為「成功」外,其餘均設定為「成功,失敗」

將應用程式、安全、系統日誌至少設定為32mb以上,設定當達到最大的日誌尺寸時,按需要改寫事件。

補丁、遠端超時設定、預設共享、檔案許可權指派、系統服務、匿名許可權限制、防火牆、防病毒軟體、snmp預設口令等,可以根據實際需要進行配置。

Tomcat安全加固

1.公升級到最新穩定版,這個是老生常談了。目前tomcat支援6.0和7.0兩個版本。1 出於穩定性考慮,不建議進行跨版本公升級,如果之前是6.0系列版本,最好還是使用該系列的最新版本。2.從監聽埠上加固 1 如果tomcat不需要對外提供服務,則監聽在本地回環,前面放nginx。如果需要對外提供訪...

14 安全加固

一.賬號安全 1.賬號鎖定 passwd l scu passwd u scu 本質 在 etc shadow密碼列前增加 口令策略 vi etc login.defs pass max days 90 密碼最長使用天數 pass min days 0 pass warn age 7 密碼到期提前預...

SSH安全加固

下面提到的引數,需要對應修改的檔案是 etc ssh sshd config 將引數做以下更改 permitrootlogin no 這一步已經做過了。這樣就可以不使用密碼登陸。具體參考如何設定ssh金鑰 參考鏈結,需要進行以下配置 passwordauthentication no 在配合pam的...