10年工作经验,专研网站运维。
全部博文(454)
分类: LINUX
2011-05-07 21:20:35
红色项需要做,紫色项不能做,蓝色项要根据实际情况做,黄色的我还不太懂
1、 服务器禁止ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2、 隐藏Apache版本号机敏感信息
ServerSignature Off
ServerTokens Prod
3、 Apache使用自身用户和组运行
User daemon
Group daemon
4、 减少cgi脚本风险
Options IncludesNOEXEC5、 关闭对.htaccess文件的支持
6、 关闭任何不需要的模块。
7、 禁止显示动态目录索引。
8、 Apache日志只有root可以访问
9、 禁止使用目录索引
Options -Indexes FollowSymLinks12禁止默认访问Order deny,allowAllow from all14、安装软件防范dos攻击。
15、禁止用户重载
AllowOverride None
16、 打上最新的补丁。
17、 将进程权限限制在文件系统目录树中的某一子树中(让Apache运行在监牢里)
18、 采用反向代理加强Apache的安全。
19、 使用selinux提升Apache的安全性。
20、 使用AIDE软件监视Web服务器的配置文件、数据和CGI文件是否被修改
21、 使用tcp_wrappers进一步控制访问权限。
22、 建立一个安全的目录结构:
ServerRoot:保存配置文件(conf子目录)、二进制文件和其他服务器配置文件。
DocumentRoot:保存Web站点的内容,包括HTML文件和图片等。
ScripAlias:保存CGI脚本。
Customlog和Errorlog:保存访问日志和错误日志。
建议设定这样一个目录结构,以上四个主要目录相互独立并且不存在父子逻辑关系。
这样的目录结构是比较安全的,因为目录之间是独立的,某个目录的权限错误不会影响到其他目录