4.1.1 Centos7---4.2.1 Apache

原创
2019/05/17 23:50
阅读数 46

4.1.1 Centos7

安全加固-Centos7

攻击者视角

SSH密码

yum -y install expect
mkpasswd

服务器上所有账号的密码都要采用毫无关联的强密码,密码为不少于16位的大小写字母数字特殊符号的组合。

修改SSH配置文件

改默认端口 禁止root帐号登录 指定允许登录帐号

启用强制密码长度策略

/etc/login.defs
PASS_MIN_LEN 13

检查是否存在除root之外UID为0的用户

awk -F: '($3 == 0) { print $1 }' /etc/passwd

检测登陆系统是否需要密码

awk -F: '($2 == ""){print $1}' /etc/passwd

帐户口令复杂度及定期更换

禁用NAT

echo 0 > /proc/sys/net/ipv4/ip_forward

Bash日志

设置环境变量为只读:

readonly HISTFILE
readonly HISTFILESIZE
readonly HISTSIZE
readonly HISTCMD
readonly HISTCONTROL
readonly HISTIGNORE

为history文件添加时间

export HISTTIMEFORMAT=‘%F %T’

设置history文件只能追加:

chatter +a ~/.bash_history

4.2.1 Apache

安全加固-Apache

服务器Banner信息隐藏

/etc/httpd/conf/httpd.conf
ServerTokens Prod
ServerSignature Off

PHP配置

/etc/php.ini
expose_php = off

防止列目录泄露敏感信息

Options Indexes FollowSymLinks改为 Options FollowSymLinks

指定目录禁止php解析

<Directory "/var/www/html/uploads">
php_flag engine off
</Directory>

限制管理员后台特定IP访问

<Directory "/var/www/html/admin">
  Order Deny,Allow
  Deny from all
  Allow from 192.168.1.111
</Directory>

关闭对.htaccess的支持

AllowOverride None
展开阅读全文
加载中

作者的其它热门文章

打赏
0
0 收藏
分享
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部