1. 服务器安全
1.1 服务器系统的选择 (首选Centos7.5 及以上2019年的最新内核)
1.2 服务器的安全配置 ( 服务器软件更新至最新版 )
1.2.1 Centos yum update
1.2.2 乌班图 sudo apt-get update
1.3 然后安装宝塔面板
1.4 SSH安全 ( 这里使用带头大哥的SSh的那个插件)
安装之后呢 只允许证书登陆
然后到服务器安全里把SSH端口修改为非22 端口
2.面板安全
2.2 安全入口
2.3BasicAuth 认证。( 可以参考
https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=34374
2.4 面板的账号密码
3. 软件安全
推荐使用LNMP的软件方式
Nginx 1.17
PHP 7.3 (如果支持PHP7.3 就使用PHP7.3)
Mysql 5.6 (5.7 可以看机器的性能。如果性能平常建议不要使用)
3.1 Nginx 的安全配置
如果你自己有能力修改配置文件。可以自行修改。但是可以参考以下的安全问题的发生
https://xz.aliyun.com/t/4855
(宝塔面板的Nginx的配置不存在这些问题。如果你们在修改的时候,建议看看上面的文章)
3.2 PHP的安全配置
- disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,putenv
复制代码
一共是18个函数。如果你们的项目中需要用到putenv 这个函数可以去掉,如果未使用到这个函数,可以禁用
3.3 Mysql的安全配置
Mysql 检查是否存在对外访问用户
- select User,Host from mysql.user where host=’%’
复制代码
如果存在可以关闭当前用户的权限。
然后 需要对外的用户,可以考虑限制IP的方式。这样安全性比较好一点
4. 网站安全
4.1 防御跨站
每个网站一定要开启防跨站的功能。这个必须的。如果是Tp的项目。你们在public 下面看看是否存在user.ini 的文件
4.2. 网站防御(WAF的选择)
这里WAF的选择可以看需求。不过我首选推荐宝塔Nginx 防火墙
首选推荐宝塔
宝塔防火墙对主动攻击防御是效果比较大。 但是对CC这些方面还是比云锁弱了很多。这是个事实。 不得不承认。这方面正在努力中。 但是价格只需要19.8 第二首选:云锁 云锁并不好用,但是贵在免费,如果有宝塔防火墙的情况下,首选是宝塔 4.3 防篡改的使用 |