Linux系统安全 web安全细节设置
方法:编辑/etc/passwd文件,把adm,Ip,sync,shutdown,half,news,uucp,operator,games注释掉。
操作2:注释掉不用的用户组方法:编辑/etc/group文件,把adm,ip,news,uucp,games,dip,ppusers注释掉。
操作3:删除登录信息方法:将/etc/issue /etc/issue.net 这些文件名字后缀加上bak或者删除。
操作4:修改ssh端口方法:编辑/etc/ssh/sshd_config 把#Port 22前注释去掉,加上Port 22222 重启ssh服务,使用22222端口ssh成功后,把Port 22删除。
操作5:取消root登录方法:编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉,并修改成no,然后重启sshd服务,并且创建一个用户用来ssh切换到root用户。
操作6:设置特定组可以su到root方法:编辑 /etc/pam.d/su文件,找到这行auth required pam_wheel.so use_uid 把前面的注释去掉,同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。
操作7:启用iptables防火墙方法:根据具体要求来具体设置,基本对一些端口进行开启和关闭。
操作8:只允许对root对/etc/init.d/下服务进行操作方法:chmod 700 -R /etc/init.d/。
操作9:使用yum update更新系统时不升级内核,只更新软件包方法:编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*。
操作10:修改history命令记录方法:编辑/etc/profile文件,把HISTSIZE=100改为HISTSIZE=50。
操作12:禁止非root用户修改重要方法:chmod 700 /etc/passwd /etc/group /etc/shadow /etc/services
操作13:Selinux修改方法:修改/etc/selinux/config 修改成SELINUX=disabled
操作14:修改hostname方法:编辑/etc/sysconfig/network ,把HOSTNAME=你想要的名字然后保存 执行hostname=你想要的名字 然后注销就生效了
操作15:关闭ipv6方法:编辑/etc/modprobe.d/dist.conf,在结尾添加alias net-pf-10 off alias ipv6 off这两行
操作16:服务器禁Ping方法:在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1 若要开Ping 把1改成0就行了
操作17:系统内核优化方法:http://blog.chinaunix.net/uid-21505614-id-2181210.html 虚拟机有些做不了
操作18:转发重要或者错误日志给我们自己邮箱方法:编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱
操作19:抵御SYN方法:
1.增加syn队列长度:sysctl -w net.ipv4.tcp_max_syn_backlog=2048
2.打开syn cookie功能:sysctl -w net.ipv4.tcp_syncookies=1 3.降低重试次数:sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 为了操持重启 时保持上述配置,将文件写入到/etc/rc.d/rc.local文件中
http://www.sudu.cn/info/html/edu/20080407/263264.html
操作20:增加dns方法:编辑/etc/resolv.conf,增加nameserver dns地址
操作21:不允许从不同的控制台进行root登陆方法:编辑/etc/securetty,把禁止登录的tty设备前加#号进行注释。
操作22:注销时自动删除命令记录方法:编辑/etc/skel/.bash_logout,增加rm -rf $HOME/.bash_history这一行,如果要针对特定用户,可以在该用户主目录下修改/$HOME/.bash_logout,也增加上面那行就行
操作23:设置允许ssh远程的IP方法:在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip -j ACCEPT。
[Web方面] 操作24:关闭Apache默认的目录浏览方法:编辑httpd.conf文件,而且对每一个 Directory 指令,清除 Indexs .
操作25:清除apache头信息中的服务器信息方法:编辑httpd.conf文件,在配置文件加上两行,ServerTokens ProductOnly Server Signature Off
操作26:禁用一些涉及到到php安全函数方法:在php.ini文件中禁用相关函数passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,get_cfg_var
操作27:清除默认注释方法:把httpd.conf中的默认注释删除,方便阅读
操作28:禁止用户加载.htaccess文件方法:编辑httpd.conf文件,把AllowOverride配置成NO
操作29:NFS防护方法:
1.使用Iptables防火墙对连接nfs server进行设置 iptables -A INPUT -i eth0 -p tcp -s 网段/ip dport 111 -j accept iptables -A INPUT -i eth0 -p udp -s 网段/ip dport 111 -j accept
2.修改默认的nfs端口
3.合理的设定/etc/exports中共享出去的目录,最好能使用anonuid,anongid以使mount到nfs server的client仅仅有最小的权限,最好不要使用root_squash
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/57394.html
apacheiptableslinuxphpshell虚拟机相关文章
- 深入Linux:探索超线程技术(linux查看超线程)
- 探索Linux系统函数之旅(linux的系统函数)
- Linux深度商店:让您深度享受Linux之美(linux深度商店)
- 利用 Linux 搭建安全的代理服务器(linux作为代理服务器)
- 利用安卓,塑造你的Linux世界(把安卓当linux用)
- Linux软件实现安全保障(linux软件安全)
- Linux下搜狗拼音输入法使用指南(linux搜狗拼音)
- 安全增强Linux服务器登陆安全的措施(linux服务器登陆)
- Linux嵌入式开发:广阔的发展前景(linux嵌入式开发前景)
- Linux登录系统:极致安全的安全保障(linux登陆器)
- 记录Linux密码:安全保障的第一步(linux密码记录)
- Linux实现图形界面编程入门(linux编写图形界面)
- Linux下硬盘格式化:快速、简单、安全(linux下硬盘格式化)
- 关闭Linux防火墙:安全与保障(关闭linux的防火墙)
- Linux下文件对比技术分析(linux文件对比)
- 探索Linux系统的字符集之旅(linux系统字符集)
- Linux的分支之旅:探索操作系统的多样性(linux的分支)
- 探秘Linux黑客系统:安全还是犯罪利器?(黑客linux系统)
- Linux超级用户:掌控系统的关键人物(linux超级用户)
- Linux安全防护:让你简单安全(linux安全组)
- Linux硬盘安全备份的正确姿势(备份linux硬盘)
- 安全性Linux系统保护硬盘安全之道(linux硬盘的)
- Linux开启外网端口:一步一步安全搭建(linux开启外网端口)
- 打造顶尖Linux模拟环境:详尽教程分享(linux模拟环境搭建)
- 如何在Linux上成功注销系统?(linux注销系统)
- Linux安全:如何使用密钥保护您的系统(linux 密钥)
- 探寻Linux云存储:解放空间的高效、可靠新选择(linux云存储)
- 深入了解Linux登录:从账户管理到安全保护(linux登录)
- Linux互斥锁:保护数据的安全屏障(linux 互斥锁)
- 深入探索:Linux主机名称查看(查看linux主机名称)