Linux網站安全加固
Linux網站安全加固
現在互聯網的重要性越來越大,很多人也對一些技術很感興趣,那么你知道Linux網站安全加固嗎?下面是學習啦小編整理的一些關于Linux網站安全加固的相關資料,供你參考。
Linux網站安全加固的方法:
php安全配置:
1. 確保運行php的用戶為一般用戶,如www
2. php.ini參數設置
open_basedir可將用戶訪問文件的活動范圍限制在指定的區域,通常是其家目錄的路徑,也可用符號"."來代表當前目錄。注意用open_basedir指定的限制實際上是前綴,而不是目錄名。
舉例來說: 若"open_basedir = /home/wwwroot", 那么目錄"/home/wwwroot"和"/home/wwwroot1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄,請用斜線結束路徑名。
注意:
從網上獲取的資料來看,open_basedir會對php操作io的性能產生很大的影響。研究資料表明,配置了php_basedir的腳本io執行速度會比沒有配置的慢10倍甚至更多,請大家自己衡量
open_basedir也可以同時設置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用冒號分隔目錄。當其作用于Apache模塊時,父目錄中的open_basedir路徑自動被繼承。
mysql安全配置:
1. MySQL版本的選擇
在正式生產環境中,禁止使用4.1系列的MySQL數據庫。至少需要使用5.1.39或以上版本。
2. 網絡和端口的配置
在數據庫只需供本機使用的情況下,使用–skip-networking參數禁止監聽網絡 。
3. 確保運行MySQL的用戶為一般用戶,如mysql,注意存放數據目錄權限為mysql
4. 開啟mysql二進制日志,在誤刪除數據的情況下,可以通過二進制日志恢復到某個時間點
5. 認證和授權
(1) 禁止root賬號從網絡訪問數據庫,root賬號只允許來自本地主機的登陸。
(2) 刪除匿名賬號和空口令賬號
web服務器安全配置:
確保運行Nginx或者Apache的用戶為一般用戶,如www,注意存放數據目錄權限為www
防止sql注入代碼
if ( $query_string ~* ".*[\;'\<\>].*" ){ return 404;}
關閉存放數據上傳等目錄的PHP解析
location ~* ^/(attachments|data)/.*\.(php|php5)${deny all ;}
針對Apache:關閉圖片目錄/上傳等目錄的PHP解析
order allow,deny
Deny from all
木馬查殺與防范:
php木馬快速查找命令
grep -r --include=*.php '[^a-z]eval($_POST' /home/wwwroot/
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /home/wwwroot/
利用find mtime查找最近兩天或者發現木馬的這幾天,有哪些PHP文件被修改
find -mtime -2 -type f -name \*.php
防范:
1. 做好之前的安全措施,比如禁用相關PHP函數
2. 改變目錄和文件屬性
3. 為防止跨站 感染,需要做虛擬主機目錄隔離
(1) nginx 的簡單實現方法
利用nginx跑多個虛擬主機,習慣的php.ini的open_basedir配置:
open_basedir = ./:tmp:/home/wwwroot/
注:/home/wwwroot/是放置所有虛擬主機的web路徑
黑客 可以利用任何一個站點的webshell進入到/home/wwwroot/目錄下的任何地方,這樣對各個虛擬主機的危害就很大
例如: /data/www/wwwroot目錄下有2個虛擬主機
修改php.ini
open_basedir = ./:/tmp:/home/wwwroot/www.a.cn:/home/wwwroot/b.cn
這樣用戶上傳webshell就無法跨目錄訪問了。
(2) Apache的實現方法,控制跨目錄訪問
在虛擬機主機配置文件中加入
php_admin_value open_basedir "/tmp:/home/wwwroot/www.a.cn
看過文章“Linux網站安全加固”的人還看了:
5.防臺風十招
8.網絡安全操作工具