安全加固
Centos 7 安全加固
SSH 加密
yum -y install expect
mkpasswd
服务器上所有账号的密码都要采用毫无关联的强密码,密码为不少于16位的大小写字母数字特殊符号的组合。
修改SSH配置文件
- 改默认端口 22 -> 78787
- 禁止root帐号登录
- 指定允许登录帐号
SHH root
PermitRootLogin no
AllowUsers ccav
启用强制密码长度策略
vim /etc/login.defs
.....
PASS_MIN_LEN 13
检查是否存在除root之外UID为0的用户
awk -F: ‘($3 == 0) { print $1 }‘ /etc/passwd
检测登陆系统是否需要密码
awk -F: ‘($2 == ""){print $1}‘ /etc/passwd
帐户口令复杂度及定期更换
[[email protected]]# passwd xxxxxx
禁用NAT
echo 0 > /proc/sys/net/ipv4/ip_forward
Bash日志
设置环境变量为只读:
readonly HISTFILE
readonly HISTFILESIZE
readonly HISTSIZE
readonly HISTCMD
readonly HISTCONTROL
readonly HISTIGNORE
为history文件添加时间
export HISTTIMEFORMAT=‘%F %T’
设置history文件只能追加:
chatter +a ~/.bash_history
Apache
服务器Banner信息隐藏
复制代码
apache 配置文件
vim /etc/httpd/conf/httpd.conf
...
ServerTokens Prod
ServerSignature Off
PHP 配置文件
vim /etc/php.ini
...
expose_php = Off
复制代码
防止列目录泄露敏感信息
Options Indexes FollowSymLinks
改为
Options FollowSymLinks
指定目录禁止php解析
<Directory "/var/www/html/uploads">
php_flag engine off
</Directory>
限制管理员后台特定IP访问
<Directory "/var/www/html/admin">
Order Deny,Allow
Deny from all
Allow from 192.168.1.111
</Directory>
关闭对.htaccess的支持
AllowOverride None
禁止显示版本
server_tokens off;
或者通过源码编译的时候修改
vim /src/core/nginx.h
...
#define NGINX_VERSION "1.9.15"
#define NGINX_VER "nginx/" NGINX_VERSION
禁止上传目录禁止php文件
解析目录不可写,可写目录不解析
单个目录
location ~ /upload/.*.(php|php5)?$ {
deny all;
}
多个目录
location ~ ^/(administrator|upload)/..(php)$ {
deny all;
}
禁止访问所有目录下的敏感文件
location ~. *.(sql|log|txt|rar|zip|sh|py|svn|git) {
deny all;
}
禁用不必要的HTTP方法
if ($request_method !~ ^(GET|HEAD|POST)$)
{
return 405;
}
Nginx、php-fpm运行帐号及组为nobody
Lua + nginx
原文地址:https://blog.51cto.com/865516915/2424678