站点图标 IDC铺

Linux系统安全 web安全细节设置

[系统方面]操作1:注释掉不用的用户方法:编辑/etc/passwd文件,把adm,Ip,sync,shutdown,half,news,uucp,operator,games注释掉操作2:注释掉不用的用户组。

方法:编辑/etc/group文件,把adm,ip,news,uucp,games,dip,ppusers注释掉操作3:删除登录信息方法:将/etc/issue /etc/issue.net 这些文件名字后缀加上bak或者删除。

操作4:修改ssh端口方法:编辑/etc/ssh/sshd_config 把#Port 22前注释去掉,加上Port 22222 重启ssh服务,使用22222端口ssh成功后,把Port 22删除操作5:取消root登录

方法:编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉,并修改成no,然后重启sshd服务,并且创建一个用户用来ssh切换到root用户操作6:设置特定组可以su到root。

方法:编辑 /etc/pam.d/su文件,找到这行auth            required       pam_wheel.so use_uid 把前面的注释去掉,同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。

操作7:启用iptables防火墙方法:根据具体要求来具体设置,基本对一些端口进行开启和关闭操作8:只允许对root对/etc/init.d/下服务进行操作方法:chmod 700 -R /etc/init.d/。

操作9:使用yum update更新系统时不升级内核,只更新软件包方法:编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*操作10:修改history命令记录。

方法:编辑/etc/profile文件,把HISTSIZE=100改为HISTSIZE=50操作12:禁止非root用户修改重要方法:chmod 700 /etc/passwd /etc/group /etc/shadow /etc/services。

操作13:Selinux修改方法:修改/etc/selinux/config 修改成SELINUX=disabled操作14:修改hostname方法:编辑/etc/sysconfig/network ,把HOSTNAME=你想要的名字然后保存 执行hostname=你想要的名字 然后注销就生效了

操作15:关闭ipv6方法:编辑/etc/modprobe.d/dist.conf,在结尾添加alias net-pf-10 off alias ipv6 off这两行操作16:服务器禁Ping方法:在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1 若要开Ping 把1改成0就行了

操作17:系统内核优化方法:http://blog.chinaunix.net/uid-21505614-id-2181210.html 虚拟机有些做不了操作18:转发重要或者错误日志给我们自己邮箱方法:编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱

操作19:抵御SYN方法:1.增加syn队列长度:sysctl -w net.ipv4.tcp_max_syn_backlog=20482.打开syn cookie功能:sysctl -w net.ipv4.tcp_syncookies=1 3.降低重试次数:sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 为了操持重启 时保持上述配置,将文件写入到/etc/rc.d/rc.local文件中

http://www.sudu.cn/info/html/edu/20080407/263264.html操作20:增加dns方法:编辑/etc/resolv.conf,增加nameserver dns地址

操作21:不允许从不同的控制台进行root登陆方法:编辑/etc/securetty,把禁止登录的tty设备前加#号进行注释操作22:注销时自动删除命令记录方法:编辑/etc/skel/.bash_logout,增加rm -rf $HOME/.bash_history这一行,如果要针对特定用户,可以在该用户主目录下修改/$HOME/.bash_logout,也增加上面那行就行。

操作23:设置允许ssh远程的IP方法:在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip -j ACCEPT[Web方面]操作24:关闭Apache默认的目录浏览。

方法:编辑httpd.conf文件,而且对每一个”Directory”指令,清除”Indexs”.操作25:清除apache头信息中的服务器信息方法:编辑httpd.conf文件,在配置文件加上两行,ServerTokens ProductOnly Server Signature Off

操作26:禁用一些涉及到到php安全函数方法:在php.ini文件中禁用相关函数passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,get_cfg_var

操作27:清除默认注释方法:把httpd.conf中的默认注释删除,方便阅读操作28:禁止用户加载.htaccess文件方法:编辑httpd.conf文件,把AllowOverride配置成NO操作29:NFS防护

方法:1.使用Iptables防火墙对连接nfs server进行设置 iptables -A INPUT -i eth0 -p tcp -s 网段/ip –dport 111 -j accept iptables -A INPUT -i eth0 -p udp -s 网段/ip –dport 111 -j accept

2.修改默认的nfs端口3.合理的设定/etc/exports中共享出去的目录,最好能使用anonuid,anongid以使mount到nfs server的client仅仅有最小的权限,最好不要使用root_squash

退出移动版