lamp安全攻略

### LAMP安全攻略 #### Linux加固 **1. BIOS安全** - **重要性：** 设置BIOS密码可以防止未经授权的人员篡改系统设置或者通过非正常途径启动系统。 - **操作步骤：** - 在系统启动时进入BIOS设置界面。 - 设置BIOS密码并确保只允许从硬盘启动。 **2. SSH安全** - **背景：** SSH是Secure Shell的缩写，用于加密网络通信，提供安全的数据传输和远程登录功能。默认情况下，SSH允许root用户登录，这增加了系统的安全风险。 - **改进措施：** - 修改`/etc/ssh/sshd_config`文件。 - 将`Protocol`设置为`2`以启用SSH v2协议。 - 将`PermitRootLogin`设置为`no`以禁止root用户通过SSH登录。 - 重启SSH服务：`/etc/rc.d/init.d/sshd restart`。 **3. 禁用telnet** - **理由：** Telnet是一种未加密的远程登录协议，容易被截获数据。 - **操作步骤：** - 停止telnet服务：`service xinetd stop`。 - 禁止telnet服务随系统自动启动：`chkconfig --level 35 xinetd off`。 - 编辑`/etc/xinetd.d/telnet`文件，将`disable`项设为`yes`。 **4. 禁用代码编译** - **目的：** 防止潜在攻击者利用系统资源进行恶意活动。 - **实现方法：** - 使用SELinux或者AppArmor等工具来限制特定进程的权限。 **5. ProFTP安全** - **原因：** FTP（File Transfer Protocol）是一种常见的文件传输协议，但默认配置下可能存在安全隐患。 - **解决方案：** - 使用更安全的SFTP（Secure FTP）代替标准FTP。 - 确保只有授权用户能够访问FTP服务。 **6. TCP Wrappers** - **功能：** 用于过滤进出网络的数据包，增强安全性。 - **配置方法：** - 编辑`/etc/hosts.allow`和`/etc/hosts.deny`文件以定义允许或拒绝哪些主机访问服务。 **7. 创建一个SU组** - **目的：** 限制某些用户只能通过su命令获得root权限。 - **实现步骤：** - 创建一个新组。 - 添加需要限制的用户到该组。 - 修改`/etc/sudoers`文件以授予这些用户必要的权限。 **8. root通知** - **功能：** 当root用户登录时发送通知邮件给管理员。 - **配置步骤：** - 编辑`/etc/issue.net`文件添加自定义消息。 - 设置cron任务定期检查root用户登录情况并通过邮件通知管理员。 **9. history安全** - **问题：** 历史命令可能包含敏感信息。 - **解决办法：** - 清除root用户的`.bash_history`文件。 - 设置环境变量`HISTFILESIZE=0`以限制历史命令的保存数量。 **10. 欢迎信息** - **作用：** 显示自定义消息给登录用户。 - **实现方法：** - 修改`/etc/motd`文件。 - 通过`/etc/profile`或`/etc/bash.bashrc`脚本定制显示信息。 **11. 禁用所有特殊账户** - **目的：** 禁用系统默认创建的一些特殊账户，减少潜在的安全漏洞。 - **操作步骤：** - 使用`userdel`命令删除不需要的用户账户。 **12. chmod危险文件** - **原因：** 对关键文件设置正确的权限是防止未经授权访问的重要手段。 - **实施步骤：** - 使用`chmod`命令修改文件权限。 **13. 指定允许root登陆的TTY设备** - **目的：** 限制root用户仅能通过某些终端登录。 - **实现方法：** - 编辑`/etc/security/console.perms`文件。 - 指定允许root用户登录的终端类型。 **14. 选择一个安全的密码** - **重要性：** 强密码可以有效抵御暴力破解攻击。 - **建议：** - 包含大写字母、小写字母、数字和特殊字符。 - 至少12个字符长。 **15. 检查Rootkit** - **功能：** Rootkit是一种隐蔽的恶意软件，用于绕过操作系统安全机制。 - **检测工具：** - `rkhunter`：一个常用的Rootkit扫描工具。 - `chkrootkit`：另一个流行的检测工具。 **16. 安装补丁** - **重要性：** 及时更新软件和操作系统以修复已知漏洞。 - **操作指南：** - 定期检查可用的安全更新。 - 使用`yum update`或`apt-get update`命令安装最新补丁。 **17. 隐藏Apache信息** - **背景：** 显示服务器版本信息可能暴露安全漏洞。 - **配置方法：** - 修改`/etc/httpd/conf/httpd.conf`文件。 - 将`ServerTokens`设置为`Prod`以仅显示产品名称。 **18. 隐藏php信息** - **目的：** 隐藏PHP版本信息可以降低被针对特定版本漏洞攻击的风险。 - **实现步骤：** - 编辑`/etc/php.ini`文件。 - 关闭`expose_php`选项。 **19. 关闭不使用的服务** - **理由：** 关闭不必要的服务可以减少攻击面。 - **操作步骤：** - 使用`systemctl disable <servicename>`命令停止服务。 - 禁止服务随系统启动。 **20. 检测监听中的端口** - **目的：** 监控系统上开放的端口有助于发现潜在的安全问题。 - **工具推荐：** - `nmap`：一款强大的网络扫描工具。 - `netstat`：用于查看当前开放端口和网络连接状态。 **21. 关闭打开的端口和服务** - **操作步骤：** - 根据第20步的结果关闭不需要的端口和服务。 **22. 删除不用的rpm包** - **理由：** 删除不再使用的软件包可以减少系统维护负担并提高安全性。 - **命令示例：** - `rpm -e --nodeps <packagename>`。 **23. 禁用危险的php函数** - **原因：** 一些PHP函数可能会导致安全问题。 - **实现方法：** - 在`/etc/php.ini`中添加禁用的函数列表。 **24. 安装配置防火墙** - **重要性：** 防火墙是网络安全的第一道防线。 - **配置步骤：** - 使用`firewalld`或`iptables`服务。 - 自定义规则以允许或拒绝特定类型的流量。 **25. 安装和配置BFD** - **解释：** BFD (Bidirectional Forwarding Detection) 是一种用于快速检测链路故障的协议。 - **设置指南：** - 安装BFD软件包。 - 配置BFD与路由器和其他网络设备之间的会话。 **26. 内核加固(sysctl.conf)** - **功能：** 通过调整内核参数来优化系统性能和安全性。 - **配置文件：** - `/etc/sysctl.conf`。 - 示例参数包括：`net.ipv4.icmp_echo_ignore_all`和`kernel.core_uses_pid`。 **27. 更改SSH端口** - **目的：** 更改SSH默认端口可以增加一层防护。 - **操作指南：** - 修改`/etc/ssh/sshd_config`文件中的`Port`选项。 - 选择一个不容易被猜测的端口号。 **28. /tmp/var/tmp,/dev/shm分区安全** - **背景：** 这些临时文件存储区域如果配置不当可能导致安全问题。 - **解决方案：** - 设置适当的文件权限。 - 使用SELinux或AppArmor限制对这些分区的访问。 **29. PHPIDS** - **功能：** PHPIDS (PHP Intrusion Detection System) 是一个开源的入侵检测系统。 - **配置方法：** - 下载并安装PHPIDS。 - 配置规则以监控潜在的攻击行为。 #### Apache加固 **1. 修改banner** - **目的：** 隐藏服务器的真实信息。 - **配置步骤：** - 修改`ServerSignature`和`ServerTokens`选项。 **2. 修改默认的http状态响应码404,503等默认页面** - **目的：** 自定义错误页面可以提升用户体验并隐藏敏感信息。 - **实现方法：** - 创建自定义错误页面文件。 - 在`httpd.conf`文件中设置`ErrorDocument`指令。 **3. Apache的访问权限控制** - **功能：** 限制对特定资源的访问。 - **配置指南：** - 使用`.htaccess`文件。 - 定义基于IP地址或用户名密码的访问控制。 **4. 关闭危险指令** - **原因：** 一些Apache模块和指令可能带来安全隐患。 - **实现步骤：** - 在`httpd.conf`文件中禁用或修改相关指令。 **5. open_basedir限制目录** - **目的：** 限制PHP脚本只能访问指定目录下的文件。 - **配置示例：** - 在`/etc/php.ini`文件中设置`open_basedir`参数。 **6. 掌握Apache的Order Allow Deny判断原则** - **概念：** 控制是否允许客户端访问特定资源。 - **配置示例：** - 使用`<Directory>`或`<Location>`块定义访问规则。 **7. mod_rewrite重写URL** - **目的：** 用于URL重写，提高网站友好性和安全性。 - **配置示例：** - 在`httpd.conf`文件中启用`mod_rewrite`模块。 - 定义重写规则。 **8. Limit模块限制IP连接数** - **功能：** 限制来自单个IP地址的并发连接数。 - **配置示例：** - 使用`Limit`指令定义限制规则。 **9. 让Apache支持安全HTTPS协议** - **背景：** HTTPS协议提供了加密的数据传输，增强安全性。 - **配置步骤：** - 获取SSL证书。 - 配置`https.conf`文件启用HTTPS支持。 **10. 安装配置mod_security** - **功能：** Mod_Security是一个强大的Web应用程序防火墙。 - **安装步骤：** - 下载并安装Mod_Security。 - 配置规则集以保护Web应用免受常见攻击。 #### PHP加固 **1. 打开php的安全模式** - **目的：** 限制PHP脚本只能访问特定目录下的文件。 - **配置示例：** - 在`/etc/php.ini`文件中设置`safe_mode`选项。 **2. 安全模式下执行程序主目录** - **功能：** 确保脚本只能在其主目录及其子目录中执行。 - **配置示例：** - 设置`safe_mode_exec_dir`参数。 **3. 安全模式下包含文件** - **目的：** 限制包含文件的位置。 - **配置示例：** - 设置`safe_mode_include_dir`参数。 **4. 控制php脚本能访问的目录** - **实现方法：** - 使用`open_basedir`指令限制脚本的访问范围。 **5. 关闭危险函数** - **原因：** 一些PHP函数可能被滥用以执行恶意操作。 - **实现步骤：** - 在`/etc/php.ini`文件中定义禁用函数列表。 **6. 关闭PHP版本信息在http头中的泄漏** - **目的：** 隐藏版本信息可以避免被利用。 - **配置示例：** - 设置`expose_php`为`Off`。 **7. 关闭注册全局变量** - **原因：** 注册全局变量可能导致安全问题。 - **配置示例：** - 将`register_globals`设置为`Off`。 **8. 打开magic_quotes_gpc来防止SQL注入** - **目的：** 自动转义用户输入以防止SQL注入攻击。 - **配置示例：** - 设置`magic_quotes_gpc`为`On`。 **9. 错误信息控制** - **目的：** 控制错误信息的显示方式，防止泄露敏感信息。 - **配置示例：** - 设置`display_errors`为`Off`。 **10. 错误日志** - **功能：** 记录错误信息以帮助诊断问题。 - **配置示例：** - 设置`error_log`指定错误日志文件路径。 **11. 关闭远程文件打开** - **原因：** 允许远程文件包含可能引发安全问题。 - **配置示例：** - 设置`allow_url_fopen`为`Off`。 **12. Php.ini包含补丁文件** - **目的：** 应用额外的安全配置。 - **实现方法：** - 使用`include`指令加载额外的`.ini`文件。 #### MySQL加固 **1. 修改root用户口令，删除空口令** - **重要性：** 强密码是基础安全措施之一。 - **操作步骤：** - 使用`ALTER USER`命令修改密码。 **2. 删除默认数据库和数据库用户** - **理由：** 默认的数据库和用户通常包含预设的弱密码。 - **操作步骤：** - 使用`DROP DATABASE`和`DROP USER`命令删除不需要的资源。 **3. 改变默认mysql管理员帐号** - **目的：** 更改默认管理员账户名以增加安全性。 - **操作指南：** - 创建新用户并赋予超级权限。 - 更新配置文件中的用户名。 **4. 关于密码的管理** - **建议：** - 定期更换密码。 - 使用复杂度高的密码。 **5. 使用独立用户运行MySQL** - **理由：** 不应使用root用户运行MySQL服务。 - **操作步骤：** - 创建新的MySQL专用用户。 - 配置MySQL服务使用该用户。 **6. 禁止远程连接数据库** - **目的：** 减少攻击面。 - **实现方法：** - 修改MySQL配置文件中的`bind-address`选项。 **7. 限制连接用户的数量** - **目的：** 防止资源耗尽。 - **配置示例：** - 设置`max_connections`参数。 **8. 用户目录权限限制** - **目的：** 确保数据文件和配置文件只能被MySQL服务访问。 - **操作指南：** - 设置文件和目录的适当权限。 **9. 命令历史记录保护** - **功能：** 防止泄露敏感命令。 - **实现方法：** - 清空MySQL客户端的历史记录文件。 **10. 禁止MySQL对本地文件存取** - **原因：** 可能导致数据泄露。 - **配置示例：** - 设置`local_infile`为`Off`。 **11. MySQL服务器权限控制** - **目的：** 精确控制每个用户的权限。 - **实现步骤：** - 使用GRANT语句分配权限。 **12. 使用chroot方式来控制MySQL的运行目录** - **目的：** 限制MySQL服务的可访问范围。 - **操作指南：** - 创建一个隔离的运行目录。 - 配置MySQL服务在该目录下运行。 **13. 关闭对无关的Web程序访问的支持** - **理由：** 减少攻击面。 - **实现方法：** - 禁用不必要的MySQL扩展。 **14. 数据库备份策略** - **重要性：** 定期备份数据以防丢失。 - **操作指南：** - 使用`mysqldump`工具。 - 定期执行备份任务。 **15. Mysqld安全相关启动选项** - **功能：** 通过命令行参数增强MySQL安全性。 - **示例选项：** - `--skip-networking`：禁用网络连接。 - `--secure-file-priv`：限制导入文件的路径。 **16. information_schema安全** - **目的：** 控制对数据库元数据的访问。 - **实现方法：** - 使用GRANT语句限制对`information_schema`的访问。 #### 总结 通过对上述各个方面的安全加固措施的实施，可以显著提高LAMP堆栈的安全性。然而，安全是一个持续的过程，需要定期评估和更新策略以应对不断变化的威胁环境。希望本教程能为你构建安全的LAMP环境提供有益的指导。