LAMP服务器防护手册,欢迎补充和突破!

  • A+
所属分类:系统文档

0.杜绝一切弱口令 

########################## 
1.禁止列目录: 
cd /opt/lampp 
vi etc/httpd.conf 
# 就是这一行,只去掉indexes也可 
#Options Indexes FollowSymLinks 
Options FollowSymLinks 

########################## 
2.禁止跨目录 
vi /opt/lampp/etc/php.ini 
open_basedir=/var/www 

########################## 
3.禁止危险函数 
vi php.ini 
disable_functions=assert,phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen 

########################## 
4.ssh端口 
vi /etc/ssh/ssh_config 
Port 22222 

########################## 
5.修改404,403页面 
vi httpd.conf 
ErrorDocument  404 /403.htm 

########################## 
6.ssh  rootlogin 
vi /etc/ssh/sshd_config 
#PermitRootLogin yes 
找到这一行,去掉注释即可允许ssh root登录。 

########################## 
7.文件夹和文件权限 
chmod 555 http/* 
需要单独修改某个文件再chmod 755 。 
特殊目录需要77单独设定。

-------------------------------------------------------

1#Nick | 2014-06-29 16:16

虾扑瘟能直接啪。

 

2#Mujj | 2014-06-29 16:41

这么扑街啊

 

3#Mujj | 2014-06-29 16:41

红黑联盟培训出来的水准

 

4#乌云 | 2014-06-29 16:42

@Mujj 。。。。。好吧。。我自己建站总结的,如果不好@Finger 请求删帖。

 

5#小森森 | 2014-06-29 17:09

6 这一条……额……不是比较应该禁用么?

还有,eval不是函数,3中写eval是没用的。

 

6#Sunshine | 2014-06-29 17:15

@Mujj 求问还有啥高端的==。

 

7#乌云 | 2014-06-29 17:21

@小森森 本来也是禁用的,但是后来发现总是sudo很是麻烦,也就开了。

 

8#乌云 | 2014-06-29 17:25

@小森森 受教了!贴过来:

在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。

如果要禁用eval,则需要第三方扩展,使用Suhosin。

Suhosin是朝鲜语“守护神”的音译,是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序,已经进入freebsd gentoo的ports系统。效果很好的。

 

9#Mujj | 2014-06-29 17:27

@Sunshine @乌云 

php的可以考虑用suphp来做独立进程启动;

SSH方面端口改不改无所谓,用证书登陆就行;

web文件权限不要超过755(用suphp后超过就报错);

kloxo、directadmin、cpanel和国产的AMH之类的面板上的安全措施真的是很好的参考。

权限控制好做,恶意扫描、扫描、爆破等这些流氓不好整,很耗费精力(光禁不行,还得准确识别是否是恶意访问)。

 

10#乌云 | 2014-06-29 17:29

@Mujj 嗯,以前贴过一个SSH防暴力和防D的,基本都是iptables的。drops的近期有一个。

 

11#/fd | 2014-06-29 17:42

popepassthru...

https://twitter.com/_cutz/status/430678315444092928

 

12#乌云 | 2014-06-29 19:12

@/fd 感谢 /fd !又学习了。

 

13#乌云 | 2014-06-29 19:21

@/fd 谷歌了半天也没找到这个函数的任何解释,基本确定没有了。。感谢辟谣。

 

14#小森森 | 2014-06-29 19:28

open_basedir似乎还要包含个/tmp

 

15#小森森 | 2014-06-29 19:29

@Mujj 但suphp是用cgi的貌似?性能大概不太好……非虚拟主机的个人、公司服务器应该用不到suphp吧……

 

16#/fd | 2014-06-29 19:48

@乌云 其實應該是popen,passthru

 

17#Mujj | 2014-06-29 19:53

@小森森 性能没见差多少。

 

18#乌云 | 2014-06-29 21:02

@/fd 嗯。

 

19#elysier | 2014-06-29 22:35

来个safedog吧,今天装了个试了试,发现了几个很要命的地方,呵呵

 

20#雨路 | 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1) 白帽子 | 2014-06-29 23:09

隐藏http头,服务器软件信息、版本

 

21#乌云 | 2014-06-29 23:24

@elysier 嗯,这也简单易用。

 

22#回复此人 | 2014-06-29 23:45

@Mujj 实践中,访问量大一点的应用使用mod_suphp的话确实会比mod_php的性能弱一些。额……谷歌suphp performance issues可能会有原因,我没仔细看= =


  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: