你需要知道的Linux安全

阅读文本大概需要 4 分钟。

1. 账号以及密码一定要复杂,密码需要符合这些规范:字符大于 10 个;至少包含大小写以及数字;密码中不能包含账号,不能包含自己的姓名全拼,不能有自己的生日数字,不能有自己的电话号码;密码要定期更换;不能把密码保存在记事本等文档中要用专业的存密码的软件保存。

2. 可以拿一台机器作为跳板机来登陆其他服务器,其他服务器做登陆 ip 限制。

/etc/shos.allow,/etc/hosts.deny

3. 能使用密钥尽量避免使用密码登陆。

vim/etc/ssh/sshd_config //PermitRootLogin without-password 改为 PermitRootLoginno

4. 可以禁止 root 直接登陆服务器,只允许普通用户登录,普通用户 su 到 root(PermitRootLogin no)。

vim/etc/ssh/sshd_config

chkconfig --list

chkconfig nginxoff

5. 服务器上用不到的端口关闭,用不到的服务停掉(ntsysv)。

6. 应用环境程序软件(apache,nginx,php,mysql)避免使用太老版本。

7. 不可逆操作在操作前一定要备份相关的数据或配置文件。

8. 重要数据一定要备份,尽量本地和远程存两份。

9. 敲命令切勿太快,避免误操作。

10. web 禁止目录浏览。

(apache:Option -Indexes;nginx编译时加上--without-http_autoindex_module)

11. web 可写目录下禁止解析 php。

(apache:php_admin_flag engine off;nginx:location ~.*abc/.*\.php?$

12. web 默认虚拟机主机禁止访问,apache 第一个虚拟主机,nginx 如果不单独分离虚拟主机配置文件也为第一个,否则就是有“listen 80 default”那个。

13. 设定 php 禁用函数:php.ini 中增加。

disable_functions= popen,passthru,escapeshellarg,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo

14. php.ini 中关闭 display_error。

15.站点后台访问需要限定 ip。

(apache http://hanwen.me nginx: http://hanwen.me )

16. 建议每个站点都配置访问日志,并且做日志切割压缩归档,磁盘空间允许的话,尽量存放比较久的时间.

17. 尽量避免开放 ftp 服务,如果要开放要满足两个原则:1. 限定 ip 访问(iptables实现);2. 密码设置一定要复杂。

最后,希望大家有所收获。

一条迷途的咸鱼,

总有一天会游向属于它的天地!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180628G1WDTY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券