zoukankan      html  css  js  c++  java
  • Linux服务器安全加固

    关于对公司网站服务器安全加固的一些想法及思路:

    一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
    二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
    sshd:45.195.
    修改/etc/hosts.deny
    sshd:ALL
    in.telnet:ALL
    三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。
    四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少
    五、关闭无用的端口,同上。
    六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)
    chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
    chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null

    修改系统重要执行命令的权限
    chmod 700 /usr/bin
    chmod 700 /bin/ping
    chmod 700 /usr/bin/vim
    chmod 700 /bin/netstat
    chmod 700 /usr/bin/tail
    chmod 700 /usr/bin/less
    chmod 700 /usr/bin/head
    chmod 700 /bin/cat
    chmod 700 /bin/uname
    chmod 700 /bin/ps
    chmod -R 700 /etc/rc.d/init.d/*
    chmod 700 /usr/bin/chmod
    chmod 700 /usr/bin/chown

    七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
    八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755
    chmod 1755 目录名
    chmod o+t 目录名
    九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)
    十:禁用系统用户权限

    十一:修改默认命令记录历史(vim  /etc/bashrc)

    export HISTSIZE=1000000         #修改命令记录条数
    
    export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S   `whoami`   "       #记录操作时间、操作用户
    
    source /etc/bashrc

    十二:关闭Centos7的111端口

    由于111端口是有系统1号进程服务systemd启动,其上面跑的是rpcbind服务,停止的方法不能用kill,具体方法如下

    # 停止进程
    $ systemctl stop rpcbind.socket
    $ systemctl stop rpcbind

    # 禁止随开机启动
    $ systemctl disable rpcbind.socket
    $ systemctl disable rpcbind

  • 相关阅读:
    XSS跨站脚本攻击
    PHP 获取客户端ip地址
    Markdown基本语法
    浅谈CSRF攻击方式
    VC++ 中 trycatchfinally 语句 如何在获取正常信息是写一些操作语句
    VC创建Excel报表
    VS2008环境使用MFC操作读取excel文件
    VC常见错误总结(一)
    VC操作Excel文件编程相关内容总结
    VC2010对Excel的操作
  • 原文地址:https://www.cnblogs.com/steven9898/p/11237523.html
Copyright © 2011-2022 走看看