- A+
0.杜绝一切弱口令
##########################
1.禁止列目录:
cd /opt/lampp
vi etc/httpd.conf
# 就是这一行,只去掉indexes也可
#Options Indexes FollowSymLinks
Options FollowSymLinks
##########################
2.禁止跨目录
vi /opt/lampp/etc/php.ini
open_basedir=/var/www
##########################
3.禁止危险函数
vi php.ini
disable_functions=assert,phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
##########################
4.ssh端口
vi /etc/ssh/ssh_config
Port 22222
##########################
5.修改404,403页面
vi httpd.conf
ErrorDocument 404 /403.htm
##########################
6.ssh rootlogin
vi /etc/ssh/sshd_config
#PermitRootLogin yes
找到这一行,去掉注释即可允许ssh root登录。
##########################
7.文件夹和文件权限
chmod 555 http/*
需要单独修改某个文件再chmod 755 。
特殊目录需要77单独设定。
-------------------------------------------------------
1#Nick | 2014-06-29 16:16
虾扑瘟能直接啪。
2#Mujj | 2014-06-29 16:41
这么扑街啊
3#Mujj | 2014-06-29 16:41
红黑联盟培训出来的水准
4#乌云 | 2014-06-29 16:42
@Mujj 。。。。。好吧。。我自己建站总结的,如果不好@Finger 请求删帖。
5#小森森 | 2014-06-29 17:09
6 这一条……额……不是比较应该禁用么?
还有,eval不是函数,3中写eval是没用的。
6#Sunshine | 2014-06-29 17:15
@Mujj 求问还有啥高端的==。
7#乌云 | 2014-06-29 17:21
@小森森 本来也是禁用的,但是后来发现总是sudo很是麻烦,也就开了。
8#乌云 | 2014-06-29 17:25
@小森森 受教了!贴过来:
在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。
如果要禁用eval,则需要第三方扩展,使用Suhosin。
Suhosin是朝鲜语“守护神”的音译,是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序,已经进入freebsd gentoo的ports系统。效果很好的。
9#Mujj | 2014-06-29 17:27
@Sunshine @乌云
php的可以考虑用suphp来做独立进程启动;
SSH方面端口改不改无所谓,用证书登陆就行;
web文件权限不要超过755(用suphp后超过就报错);
kloxo、directadmin、cpanel和国产的AMH之类的面板上的安全措施真的是很好的参考。
权限控制好做,恶意扫描、扫描、爆破等这些流氓不好整,很耗费精力(光禁不行,还得准确识别是否是恶意访问)。
10#乌云 | 2014-06-29 17:29
@Mujj 嗯,以前贴过一个SSH防暴力和防D的,基本都是iptables的。drops的近期有一个。
11#/fd | 2014-06-29 17:42
popepassthru...
https://twitter.com/_cutz/status/430678315444092928
12#乌云 | 2014-06-29 19:12
@/fd 感谢 /fd !又学习了。
13#乌云 | 2014-06-29 19:21
@/fd 谷歌了半天也没找到这个函数的任何解释,基本确定没有了。。感谢辟谣。
14#小森森 | 2014-06-29 19:28
open_basedir似乎还要包含个/tmp
15#小森森 | 2014-06-29 19:29
@Mujj 但suphp是用cgi的貌似?性能大概不太好……非虚拟主机的个人、公司服务器应该用不到suphp吧……
16#/fd | 2014-06-29 19:48
@乌云 其實應該是popen,passthru
17#Mujj | 2014-06-29 19:53
@小森森 性能没见差多少。
18#乌云 | 2014-06-29 21:02
@/fd 嗯。
19#elysier | 2014-06-29 22:35
来个safedog吧,今天装了个试了试,发现了几个很要命的地方,呵呵
20#雨路 | 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1) 白帽子 | 2014-06-29 23:09
隐藏http头,服务器软件信息、版本
21#乌云 | 2014-06-29 23:24
@elysier 嗯,这也简单易用。
22#回复此人 | 2014-06-29 23:45
@Mujj 实践中,访问量大一点的应用使用mod_suphp的话确实会比mod_php的性能弱一些。额……谷歌suphp performance issues可能会有原因,我没仔细看= =
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
