安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > LAMP服务器防护手册,欢迎补充和突破!

LAMP服务器防护手册,欢迎补充和突破!

时间:2014-07-01来源:WOOYUN 作者:乌云点击:
0.杜绝一切弱口令 ########################## 1.禁止列目录: cd /opt/lampp vi etc/httpd.conf # 就是这一行,只去掉indexes也可 #Options Indexes FollowSymLinks Options FollowSymLinks ########################## 2.禁止跨目录 vi /opt/lampp/etc/php.ini open_basedir=/var/www #####

0.杜绝一切弱口令 

########################## 
1.禁止列目录: 

//内容来自安云网


cd /opt/lampp 
vi etc/httpd.conf 
# 就是这一行,只去掉indexes也可 

//内容来自AnYun.ORG


#Options Indexes FollowSymLinks 
Options FollowSymLinks 
//本文来自安云网
########################## 
2.禁止跨目录 
vi /opt/lampp/etc/php.ini  //内容来自AnYun.ORG
open_basedir=/var/www 

##########################  //内容来自AnYun.ORG
3.禁止危险函数 
vi php.ini 
disable_functions=assert,phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen  //内容来自AnYun.ORG

########################## 
4.ssh端口 

//本文来自安云网


vi /etc/ssh/ssh_config 
Port 22222 
//内容来自AnYun.ORG
########################## 
5.修改404,403页面 
vi httpd.conf  //内容来自AnYun.ORG
ErrorDocument  404 /403.htm 

##########################  //内容来自安云网
6.ssh  rootlogin 
vi /etc/ssh/sshd_config 
#PermitRootLogin yes 
//内容来自AnYun.ORG

找到这一行,去掉注释即可允许ssh root登录。 

########################## 

//本文来自安云网


7.文件夹和文件权限 
chmod 555 http/* 
需要单独修改某个文件再chmod 755 。 

//内容来自安云网


特殊目录需要77单独设定。

//内容来自AnYun.ORG

------------------------------------------------------- //内容来自AnYun.ORG

//内容来自AnYun.ORG

1#Nick | 2014-06-29 16:16

//内容来自AnYun.ORG

虾扑瘟能直接啪。

//本文来自安云网

 

//本文来自安云网

2#Mujj | 2014-06-29 16:41

//内容来自安云网

这么扑街啊 //内容来自AnYun.ORG

 

//内容来自安云网

3#Mujj | 2014-06-29 16:41

//内容来自安云网

红黑联盟培训出来的水准

//内容来自AnYun.ORG

 

//内容来自AnYun.ORG

4#乌云 | 2014-06-29 16:42

//本文来自安云网

@Mujj 。。。。。好吧。。我自己建站总结的,如果不好@Finger 请求删帖。

//本文来自安云网

  //内容来自AnYun.ORG

5#小森森 | 2014-06-29 17:09

//内容来自安云网

6 这一条……额……不是比较应该禁用么?

//内容来自AnYun.ORG

还有,eval不是函数,3中写eval是没用的。 //内容来自安云网

  //内容来自安云网

6#Sunshine | 2014-06-29 17:15 //内容来自安云网

@Mujj 求问还有啥高端的==。 //内容来自安云网

 

//内容来自AnYun.ORG

7#乌云 | 2014-06-29 17:21 //内容来自AnYun.ORG

@小森森 本来也是禁用的,但是后来发现总是sudo很是麻烦,也就开了。

//内容来自AnYun.ORG

  //内容来自安云网

8#乌云 | 2014-06-29 17:25

//内容来自安云网

@小森森 受教了!贴过来:

//内容来自AnYun.ORG

在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。

//本文来自安云网

如果要禁用eval,则需要第三方扩展,使用Suhosin。

//本文来自安云网

Suhosin是朝鲜语“守护神”的音译,是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序,已经进入freebsd gentoo的ports系统。效果很好的。

//内容来自AnYun.ORG

 

//本文来自安云网

9#Mujj | 2014-06-29 17:27

//内容来自安云网

@Sunshine @乌云 

//本文来自安云网

php的可以考虑用suphp来做独立进程启动;

//内容来自AnYun.ORG

SSH方面端口改不改无所谓,用证书登陆就行;

//内容来自安云网

web文件权限不要超过755(用suphp后超过就报错);

//内容来自安云网

kloxo、directadmin、cpanel和国产的AMH之类的面板上的安全措施真的是很好的参考。 //内容来自AnYun.ORG


//内容来自AnYun.ORG

权限控制好做,恶意扫描、扫描、爆破等这些流氓不好整,很耗费精力(光禁不行,还得准确识别是否是恶意访问)。

//本文来自安云网

 

//本文来自安云网

10#乌云 | 2014-06-29 17:29 //本文来自安云网

@Mujj 嗯,以前贴过一个SSH防暴力和防D的,基本都是iptables的。drops的近期有一个。 //本文来自安云网

 

//内容来自安云网

11#/fd | 2014-06-29 17:42

//本文来自安云网

popepassthru... //内容来自AnYun.ORG

https://twitter.com/_cutz/status/430678315444092928

//内容来自安云网

 

//内容来自AnYun.ORG

12#乌云 | 2014-06-29 19:12 //内容来自安云网

@/fd 感谢 /fd !又学习了。

//内容来自安云网

 

//内容来自AnYun.ORG

13#乌云 | 2014-06-29 19:21

//内容来自AnYun.ORG

@/fd 谷歌了半天也没找到这个函数的任何解释,基本确定没有了。。感谢辟谣。

//本文来自安云网

  //内容来自AnYun.ORG

14#小森森 | 2014-06-29 19:28 //内容来自安云网

open_basedir似乎还要包含个/tmp

//内容来自AnYun.ORG

  //内容来自安云网

15#小森森 | 2014-06-29 19:29

//内容来自AnYun.ORG

@Mujj 但suphp是用cgi的貌似?性能大概不太好……非虚拟主机的个人、公司服务器应该用不到suphp吧……

//内容来自安云网

 

//内容来自安云网

16#/fd | 2014-06-29 19:48 //内容来自AnYun.ORG

@乌云 其實應該是popen,passthru

//本文来自安云网

  //内容来自AnYun.ORG

17#Mujj | 2014-06-29 19:53

//本文来自安云网

@小森森 性能没见差多少。

//内容来自AnYun.ORG

  //内容来自AnYun.ORG

18#乌云 | 2014-06-29 21:02 //内容来自AnYun.ORG

@/fd 嗯。

//内容来自安云网

  //内容来自AnYun.ORG

19#elysier | 2014-06-29 22:35

//本文来自安云网

来个safedog吧,今天装了个试了试,发现了几个很要命的地方,呵呵

//内容来自安云网

  //本文来自安云网

20#雨路 | 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1) 白帽子 | 2014-06-29 23:09

//内容来自AnYun.ORG

隐藏http头,服务器软件信息、版本 //内容来自AnYun.ORG

  //本文来自安云网

21#乌云 | 2014-06-29 23:24

//本文来自安云网

@elysier 嗯,这也简单易用。 //本文来自安云网

 

//本文来自安云网

22#回复此人 | 2014-06-29 23:45 //本文来自安云网

@Mujj 实践中,访问量大一点的应用使用mod_suphp的话确实会比mod_php的性能弱一些。额……谷歌suphp performance issues可能会有原因,我没仔细看= =

//内容来自安云网



//本文来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容