LAMP安全:
1.BIOS:
设置BIOS密码,禁用从CD-ROM和软盘引导2.SSH安全:
修改/etc/ssh/sshd_configPermitRootLogin = no //禁止root访问Protocol 2 //使用sshv2版本3.禁用telnet:
修改/etc/xinetd.d/teletdisable=yes4.禁用代码编译:
可禁用代码编译,并只把编译权限分配给一个用户组添加编译用户组:groupadd compilercd /usr/bin把常用的编译器所属组赋给编译用户组:chgrp compiler *cc*chgrp compiler *++*chgrp compiler ldchgrp compiler as设置mysqlaccess的访问:chgrp root mysqlaccess设置权限:chmod 750 *cc*chmod 750 *++*chmod 750 ldchmod 750 aschmod 750 mysqlaccess把用户添加到组里:修改/etc/groupcompiler:x:520:user1,user25.ProFTP:
修改proftpd.conf禁止root登录:修改/etc/proftpd.confAdd RootLogin off重启proftpd服务6.tcpwrappers:
编辑/etc/hosts.allow和hosts.deny限制或允许访问某些服务7.创建su用户组:
vi /etc/group添加一行 wheel:x:10:root,user1,user2chgrp wheel /bin/suchmod o-rwx /bin/su8.发root通知:
当一个具有root权限的用户登录时发mail:vi /root/.bashrcecho 'ALERT -Root Shell Access(Server Name) on:' `date``who`| mail -s "Alert:RootAccessfrom `who| cut -d"("-f2|cut -d")"-f1`"your@email.com9.history安全:
chattr +a .bash_historychattr +i .bash_history10.使用欢迎信息(可选):
删除/etc/redhat-release编辑/etc/issue /etc/motd并显示警告信息11.禁用所有特殊帐号:
从系统中删除所有默认用户和组:news,lp,sync,shutdown,uucp,games,halt等12.chmod危险文件:
制不具有root权限的用户执行下面这些命令:chmod 700 /bin/pingchmod 700 /usr/bin/fingerchmod 700 /usr/bin/whochmod 700 /usr/bin/wchmod 700 /usr/bin/locatechmod 700 /usr/bin/whereischmod 700 /sbin/ifconfigchmod 700 /usr/bin/picochmod 700 /usr/bin/vichmod 700 /usr/bin/whichchmod 700 /usr/bin/gccchmod 700 /usr/bin/makechmod 700 /bin/rpm13.指定允许root登录的tty设备:
vi /etc/securetty只保留2个连接tty1tty214.选择一个安全的密码:
vi /etc/login.defsPASS_MIN_LEN 815.检测RootKit:
用 chkrootkit或 rkhunter,以 chkrootkit为例方法:wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gzwget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5首先检查 md5校验值: md5sumchkrootkit.tar.gz然后解压安装tar -zxvf chkrootkit.tar.gzcd chkrootkit./configuremake sense然后运行./chkrootkit我们可以将其添加到 contrab使其每天自动扫描:vi/etc/cron.daily/chkrootkit.sh#!/bin/bash
# 输入 chkrootkit的安装目录cd /root/chkrootkit/# 输入你想收到检测报告的 email./chkrootkit | mail -s "Daily chkrootkit from Server Name" your@email.com16.安装补丁:
列出可用更新:up2date -l安装未排除的更新:up2date -u安装包括排除的更新:up2date -uf17.隐藏APACHE信息:
vi /etc/httpd/conf/httpd.confServerSignature Off重启APACHE18.隐藏PHP信息:
vi php.iniexpose_php=Off重启APACHE19.关闭不用的服务:
cd /etc/xinetd.dgrep disable *20.检测监听的端口:
netstat -tulp lsof -i -n | egrep'COMMAND|LESTEN|UDP'nmap !21.关闭端口和服务:
22.删除不用的rpm包:
23.禁用危险的php函数:
whereis php.inivi /usr/local/lib/php.ini辑disable_functions="symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg, escapeshellcmd"27.更改ssh端口:
vi /etc/ssh/sshd_configPort 22改为其它端口,再重启ssh28./tmp,/var/tmp,/dev/shm分区安全:
/tmp,/var/tmp,/dev/shm目录是不安全的,任何用户都可以执行脚本。最好的解决办法是修改/etc/fstab,将分区挂载 ncexec和nosuid选项的参数