簡單的LNMP安全加固

2022-09-16 12:33:14 字數 3873 閱讀 9215

nginx配置檔案 (nginx.conf):/usr/local/nginx/nginx.conf

禁用autoindex:

autoindex:是nginx的目錄瀏覽功能,如果不禁用該功能,就可以通過url訪問檢視目錄中的檔案

為了防止檔案目錄的洩露我們必須要禁用autoindexoff或者不配置

關閉伺服器標記:

nginx預設每個返回的頁面攜帶版本資訊,我們需要設定server_tokens off;關閉伺服器標記(隱藏版本資訊)

自定義快取:

限制緩衝區溢位攻擊,配置http_server{}如下:文章推薦

client_body_buffer_size 20k; //設定用於請求主體的緩衝區大小 


client_header_buffer_size 1k; // 請求頭分配乙個緩衝區大小


client_max_body_size 1m; //設定nginx能處理的最大請求主體大小


large_client_header_buffers 4 8k; //讀取大型客戶端請求頭的緩衝區的最大數量和大小


# client_body_temp_path [temp]指定儲存請求正文的臨時檔案的位置


# client_body_in_single_buffer [off/on]指令設定nginx將完整的請求主體儲存在單個緩衝區中


# client_body_in_file_only [off/clean/on] 禁用nginx緩衝區並將請求體儲存在臨時檔案中


設定(超時)timeout:


http{}設定:配置介紹


client_body_timeout 10;//指定客戶端與服務端建立連線後傳送 body 的超時時間


client_header_timeout 30;//指定客戶端與服務端建立連線後傳送 header 的超時時間


keepalive_timeout 60;//無狀態協議,傳送tcp請求,伺服器響應[time]後斷開連線


send_timeout 30; //服務端向客戶端傳輸資料的超時時間。


配置日誌:


系統有預設的格式日誌,但是被注釋了,取消注釋就可以了


限制請求訪問:


限制只允許get|head|post等http請求方法~~~


黑名單ip:


server{}配置選項中:


在nginx配置檔案中進行許多安全加固:


檢查預留賬號:
$ cat /etc/passwd


$ cat /etc/shadow


$ cat /etc/group


系統中保留一些賬號,(bin,sys,adm……)


為了安全起見,生產環境下的系統都會將這些沒有用的 賬戶鎖定


鎖定賬號:


$ passwd -l //鎖定賬號


$ passwd -u //解鎖賬號


檢查空口令:
$ awk -f ":" '($2=="!")' /etc/shadow
如果發現空口令賬號可以新增密碼:


密碼策略:


$ cat /etc/login.defs  // 檢視密碼策略設定


pass_max_days		使用者密碼的使用天數


pass_min_days 最小時間間隔修改密碼


pass_min_len 密碼最小長度


pass_warn_age 密碼過期前n天提示


檢查其它超級使用者:


正所謂軍隊只能有乙個最高領導人~linux系統管理也是如此,只得有乙個超級使用者root,


$ awk -f ":" '($3=="0")' /etc/passwd    # 檢查使用者id為0的使用者
限制能夠su為root的使用者:
$ cat /etc/pam.d/su
加固:


新增:auth required /lib/security/pam_wheel.so group=wheel


限制只有wheel組的使用者可以su到root


檔案操作屬性:


將重要的檔案新增不可改屬性chattr +i


ssh安全:


禁止root使用者進行ssh登入~


$ vi /etc/ssh/sshd_config
設定permitrootloginno賬戶爆破鎖定系統:


$ vi etc/pam.d/system-auth
設定密碼錯誤n次,鎖定time秒


auth required pam_tally.so oneer=filad deny-unlock_time=
無操作退出登入:
$ vi /etc/profile tmout=
time秒無效操作後自動退出登入


命令記錄安全:


$ vi /etc/profiel
修改histsize=屬性值,限制歷史記錄n條命令記錄


系統日誌策略配置:


$ ps -aef | grep syslog //檢視syslog服務是否開啟


$ cat /etc/rsyslog.conf //檢視syslogd配置


/var/log/cron //crom日誌


/var/log/messages // 系統日誌


/var/log/secure // 安全日誌


 
資訊保安 安全加固
為了防止黑客獲取伺服器中 php 版本資訊,如x powered by php 5.3.7,最好關閉顯示 php 版本資訊,在配置檔案中追加以下資訊 expose php off預設情況下,php錯誤資訊會將程式出錯的原因顯示到瀏覽器上,容易造成敏感資訊洩露。關閉錯誤顯示 display error...


Tomcat安全加固
1.公升級到最新穩定版,這個是老生常談了。目前tomcat支援6.0和7.0兩個版本。1 出於穩定性考慮,不建議進行跨版本公升級,如果之前是6.0系列版本,最好還是使用該系列的最新版本。2.從監聽埠上加固 1 如果tomcat不需要對外提供服務,則監聽在本地回環,前面放nginx。如果需要對外提供訪...


14 安全加固
一.賬號安全 1.賬號鎖定 passwd l scu passwd u scu 本質 在 etc shadow密碼列前增加 口令策略 vi etc login.defs pass max days 90 密碼最長使用天數 pass min days 0 pass warn age 7 密碼到期提前預...