Lamp下安全配置隨筆

apache方面：

1、apache有兩個指令可以輸出伺服器的細節，即serversignature和servertokens。

當這兩個指令一起使用時，會輸出apache的版本號，php的版本號，ip，埠等資訊。很明顯這樣是很不安全的。

此時有兩種解決辦法，一：禁用serversignature。二：如果不能禁用，則可以將指令設定為「prod」（這樣只會顯示最少的資訊）。

2、在httpd.conf檔案中，其documentroot指令所對應的目錄為公共目錄，使用者很容易就可訪問到，這裡面最好不要放重要的檔案。

3、httpd.conf檔案中有大量的注釋語句，這些注釋語句有時候回帶來負面的效果，建議刪除。

4、在not found錯誤頁面一般會顯示你的apache版本號，伺服器作業系統名稱等資訊。解決辦法是：

用vim編輯器開啟配置檔案，查詢「serversignature」，預設情況下它是開啟狀態。我們需要關閉伺服器簽名。servertokens prod告訴apache只在每乙個請求網頁的伺服器響應的頭部，僅返回apache產品名稱。

5、預設情況下，輸入url後apache會自動查詢目標目錄裡面的index.php檔案，如果沒找到，在頁面上會顯示路徑目錄裡的所有內容，這樣是很不安全的。解決辦法是：

修改apache配置檔案httpd.conf;找到下面這一句刪除掉indexes即可。把options indexes followsymlinks改成options followsymlinks即可。

php方面：

與安全有關的配置引數

1、disable_functions = string，預設值：null，可以設定你希望禁用的函式，如：disable_functions = fopen，popen，file

2、disable_classes = string，預設值：null，可以禁用類

3、display_errors = on|off，預設值：on，正常情況下在開發過程中如果有什麼錯誤會被報錯到網頁上，但當**運營時，如果繼續將報錯顯示在網頁上明顯不合適，所以要將該引數設定為off

4、max_execution_time = integer，預設值：30，此引數可以指定指令碼的執行秒數，可以防止使用者占用過多的cpu時間（如果設定為0，則沒有時間限制）

5、memory_limit = integerm，預設值：128m，此指令可以指定指令碼使用的記憶體（此指令只有在配置php時啟用--enable-memory-limit）

6、open_basedir = string，預設值：null，這個指令可以建立乙個基目錄，所有的檔案操作都只能在這個目錄下進行，（與apache的documentroot指令類似）。

7、user_dir = string，預設值：null，辭職嶺可以設定乙個目錄名，php指令碼必須放在這裡才能執行。（例如：如果設定為demo，則使用者jon希望執行demo.php，則應該在jon的使用者目錄下簡歷demo目錄，之後再將demo.php放在該資料夾裡面）。

mysql方面：

1、禁用所有不需要使用的系統服務（如你不需要用web伺服器傳送電子郵件，則可以禁用該服務）。

2、關閉未使用的埠。

3、mysql守護程序的一些安全選項：

--skip-networking。若啟用此選項，則你的mysql資料庫不接受任何遠端連線（這樣雖然安全，但也意味著你自己也不能遠端除錯你的資料庫）

--skip-name-resolve。防止使用者用主機名連線，只允許使用ip位址和localhost

--skip-show-database。防止沒有show databases許可權的使用者使用此命令檢視資料列表。

--safe-user-create。防止沒有許可權的使用者建立新使用者。