セキュリティ強化
CentOSに7セキュリティ強化
SSHの暗号化
yumを期待してインストール-y
あるmkpasswdを
強力なパスワード無関係なパスワードを採用すべきで、サーバー上のすべてのアカウントのパスワードは、大文字と小文字ではない16個の未満のデジタル特殊記号を組み合わせたものです。
SSHの設定ファイルを変更します。
- > 78787 - デフォルトのポート22を変更
- rootアカウントを禁止
- 許可されるログインアカウントを指定します
SHHのルート
がないのPermitRootLogin
AllowUsersというのCCAV
パスワードの長さのポリシーを施行有効
Vimのに/etc/login.defs
.....
PASS_MIN_LEN 13
rootユーザーを除く0 UIDがないか確認してください
AWK -F:/ etc / passwdファイル '($ 3 == 0){$ 1印刷します}'
着陸システムは、パスワードが必要かどうかを検出
AWK -F:/ etc / passwdファイル '($ 2 ==は ""){$ 1印刷します}'
パスワードとアカウントの複雑さは、定期的に変更しました
[ルート@ localhostの]#のpasswd XXXXXX
NATを無効にします
0>は、/ proc / sys / net / IPv4の/ ip_forwardエコー
Bashのログは
読み取り専用に環境変数を設定します。
読み取り専用HISTFILE
読み取り専用HISTFILESIZE
読み取り専用HISTSIZE
読み取り専用HISTCMD
読み取り専用HISTCONTROL
読み取り専用HISTIGNORE
履歴ファイルに追加しました
輸出HISTTIMEFORMAT = '%F%T'
履歴ファイルを設定するだけで追加することができます。
おしゃべり+ A〜/の.bash_history
アパッチ
サーバーバナーの情報隠蔽
のコピーにコードを
Apacheの設定ファイル
のvimのある/etc/httpd/conf/httpd.conf
...
ServerTokensのProd
ServerSignatureオフ
PHP設定ファイル
のvimに/etc/php.ini
...
expose_php =オフ
コードをコピー
機密情報のディレクトリリストの開示を防ぐために、
オプションのインデックスはFollowSymLinks
変更
オプションFollowSymLinksを
PHPの禁止は、指定されたディレクトリを解決します
<ディレクトリ"/ var / www / htmlと設定/アップロード">
のphp_flagエンジンオフ
</ディレクトリ>
特定のIP管理者のバックグラウンドへのアクセスを制限
<ディレクトリ"/ var / www / htmlと設定/管理">
注文は、拒否、許可
すべてから拒否
192.168.1.111から許可
</ディレクトリ>
の.htaccessファイルのサポートをオフにします
AllowOverrideのなし
バージョンを抑制
オフserver_tokens;
またはソースコードのコンパイル時間を変更することによって、
vimの/src/core/nginx.h
...
の#define NGINX_VERSION "1.9.15"
の#define NGINX_VER "nginxの/" NGINX_VERSION
PHPファイルのアップロードディレクトリの禁止は禁止し
たディレクトリが書き込み可能でない構文解析し、書き込み可能なディレクトリが解決しない
単一のディレクトリを
場所〜/upload/.*.(php|php5)?$ {
すべてを否定します。
}
複数のディレクトリ
場所〜^ /(管理者|アップロード)/。(PHP)$ {
すべて拒否する。
}
すべてのディレクトリ内の機密ファイルへのアクセスを禁止します
場所〜。。*(SQL |ログイン| TXT | RAR |ジップ| SH | PY | SVN | gitの){
すべてを否定します。
}
不要なHTTPメソッドを無効にします
(!| | HEAD POST)$ $ REQUEST_METHOD〜^(GET)の場合
{
; 405を返します
}
Nginxは、PHP-FPMランニングアカウントとグループの誰も
Luaの+ nginxの