简单的LNMP安全加固
安全加固
Nginx安全加固:
Nginx配置文件 (nginx.conf):/usr/local/nginx/nginx.conf
禁用autoindex:
autoindex:是Nginx的目录浏览功能,如果不禁用该功能,就可以通过URL访问查看目录中的文件
为了防止文件目录的泄露我们必须要禁用autoindex
:off或者不配置
关闭服务器标记:
Nginx默认每个返回的页面携带版本信息,我们需要设置server_tokens off;
关闭服务器标记(隐藏版本信息)
自定义缓存:
限制缓冲区溢出攻击,配置http_server{}如下:文章推荐
client_body_buffer_size 20k; //设置用于请求主体的缓冲区大小
client_header_buffer_size 1k; // 请求头分配一个缓冲区大小
client_max_body_size 1m; //设置NGINX能处理的最大请求主体大小
large_client_header_buffers 4 8k; //读取大型客户端请求头的缓冲区的最大数量和大小
# client_body_temp_path [temp]指定存储请求正文的临时文件的位置
# client_body_in_single_buffer [off/on]指令设置NGINX将完整的请求主体存储在单个缓冲区中
# client_body_in_file_only [off/clean/on] 禁用NGINX缓冲区并将请求体存储在临时文件中
设置(超时)timeout:
在http{}
设置:配置介绍
client_body_timeout 10;//指定客户端与服务端建立连接后发送 body 的超时时间
client_header_timeout 30;//指定客户端与服务端建立连接后发送 header 的超时时间
keepalive_timeout 60;//无状态协议,发送tcp请求,服务器响应[time]后断开连接
send_timeout 30; //服务端向客户端传输数据的超时时间。
配置日志:
系统有默认的格式日志,但是被注释了,取消注释就可以了
限制请求访问:
限制只允许GET|HEAD|POST等HTTP请求方法~~~
黑名单IP:
在server{}
配置选项中:
location /{
allow 192.168.2.0/24; //允许的IP
deny 192.168.1.0/24; //拒绝的IP
deny all; //拒绝其它IP
}
在Nginx配置文件中进行许多安全加固:
屏蔽了目录和服务器标记
定义了超时和缓存定义
对访问机制进行了限制
CentOS安全加固:
检查预留账号:
$ cat /etc/passwd
$ cat /etc/shadow
$ cat /etc/group
系统中保留一些账号,(bin,sys,adm……)
为了安全起见,生产环境下的系统都会将这些没有用的 账户锁定
锁定账号:
$ passwd -l <username> //锁定账号
$ passwd -u <username> //解锁账号
检查空口令:
$ awk -F ":" '($2=="!"){print $1}' /etc/shadow
如果发现空口令账号可以添加密码:
$ passwd <username>
密码策略:
$ cat /etc/login.defs // 查看密码策略设置
PASS_MAX_DAYS 用户密码的使用天数
PASS_MIN_DAYS 最小时间间隔修改密码
PASS_MIN_LEN 密码最小长度
PASS_WARN_AGE 密码过期前N天提示
检查其它超级用户:
正所谓军队只能有一个最高领导人~Linux系统管理也是如此,只得有一个超级用户root,
$ awk -F ":" '($3=="0"){print $1}' /etc/passwd # 检查用户ID为0的用户
限制能够su为root的用户:
$ cat /etc/pam.d/su
加固:
添加:auth required /lib/security/pam_wheel.so group=wheel
限制只有 wheel
组的用户可以su到root
文件操作属性:
将重要的文件添加不可改属性chattr +i <File_name>
SSH安全:
禁止root用户进行ssh登录~
$ vi /etc/ssh/sshd_config
设置PermitRootLogin
为no
账户爆破锁定系统:
$ vi etc/pam.d/system-auth
设置密码错误N次,锁定time秒
auth required pam_tally.so oneer=filad deny-<N> unlock_time=<time>
无操作退出登录:
$ vi /etc/profile TMOUT=<time>
time秒无效操作后自动退出登录
命令记录安全:
$ vi /etc/profiel
修改HISTSIZE=<N>
属性值,限制历史记录N条命令记录
系统日志策略配置:
$ ps -aef | grep syslog //查看syslog服务是否开启
$ cat /etc/rsyslog.conf //查看syslogd配置
/var/log/cron //crom日志
/var/log/messages // 系统日志
/var/log/secure // 安全日志
简单的LNMP安全加固的更多相关文章
- 0123简单配置LNMP
简单配置LNMP不怕出现错误,就怕错误不知道出现在哪里?看日值tail -f /var/log/message -- 系统整个的日志tail -f /var/log/nginx/error.log - ...
- centos7 简单搭建lnmp环境
1:查看环境: 1 2 [root@10-4-14-168 html]# cat /etc/redhat-release CentOS release 6.5 (Final) 2:关掉防火墙 1 [r ...
- android加固系列—2.加固前先要学会破解,调试内存值修改程序走向
[版权所有,转载请注明出处.出处:http://www.cnblogs.com/joey-hua/p/5138585.html] 因公司项目需要对app加固,经过本人数月的研究,实现了一套完整的仿第三 ...
- WDCP LNMPA和LNMP 504 Gateway time-out错误的解决方法
Nginx的特点是处理静态很给力,Apache的特点是处理动态很稳定,两者结合起来便是LNMPA,nginx处理前端,apache处理后端,这样处理静态会很快,处理动态会很稳定.当我以为安装完成以后便 ...
- 网易易盾最新一代Java2c加固究竟有什么厉害之处?
导语:几个月前,网易易盾正式推出Java2c加固.它以独有的"静态保护"技术,使得应用程序中的代码出现"下沉",达到不可逆的效果,兼顾"冷热启动时间& ...
- APK加固之静态脱壳机编写入门
目录: 0x00APK加固简介与静态脱壳机的编写思路 1.大家都知道Android中的程序反编译比较简单,辛苦开发出一个APK轻易被人反编译了,所以现在就有很多APK加固的第三方平台,比如爱加密和梆梆 ...
- lnmp环境快速搭建及原理解析
刚开始学习php的时候是在wamp环境下开发的,后来才接触到 lnmp 环境当时安装lnmp是按照一大长篇文档一步步的编译安装,当时是真不知道是在做什么啊!脑袋一片空白~~,只知道按照那么长的一篇文档 ...
- centos7 安装php7+mysql5.7+nginx+redis
.1.先修改yum源 https://webtatic.com rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest- ...
- 一次Debug过程的思考
前一段时间,部门接入了新业务,由于业务量小,架构非常简单,采用了最简单的LNMP架构,整个项目是交给一个刚毕业的RD负责的,这是背景. 上线前半天,服务平稳运行.下午的时候,开始收到大量报警:No h ...
随机推荐
- PHP7.3安装event扩展
安装支持库libevent wget https://github.com/libevent/libevent/releases/download/release-2.1.11-stable/libe ...
- SAP QA32试图做UD,系统报错-工厂 BTYC中的 QM 基选设置需要维护
SAP QA32 试图做UD,系统报错 - 工厂 BTYC 中的 QM 基选设置需要维护 - 检验批 10000062593,试图做使用决策,系统报错, 工厂 BTYC 中的 QM 基选设置需要维护 ...
- 浅析椭圆曲线加密算法(ECC)
本文首发于先知社区,原文链接:https://xz.aliyun.com/t/6295 数学基础 黎曼几何中的"平行线" 欧几里得<几何原本>中提出五条公设: 过相异两 ...
- 【Linux 命令】cp 命令详解
Linux 命令之 cp 命令详解 一.cp 命令简介 cp 命令主要用于复制文件或目录.即用来将一个或多个源文件或者目录复制到指定的目的文件或目录. cp 命令可以将单个源文件复制成一个指定文件名的 ...
- RHEL/CentOS 安装最新版Nginx
本篇简单介绍如何在RHEL/CentOS安装最新版本的Nginx. Step 1:安装yum-utils [root@localhost ~]# cat /etc/redhat-release Cen ...
- SecureCRT远程连接The remote system refused the connection问题
今天用SecureCRT远程连接Linux(Centos 7)时,连不上,报错The remote system refused the connection.于是就百度,首先查看sshd服务有没有启 ...
- 一文读懂分布式任务调度平台XXL-JOB
本文主要介绍分布式任务调度平台XXL-JOB(v2.1.0版本),包括功能特性.实现原理.优缺点.同类框架比较等 基本介绍 项目开发中,常常以下场景需要分布式任务调度: 同一服务多个实例的任务存在互斥 ...
- CSS之border绘制三角形
用CSS的border可以画出高质量的三角形. 我们一般会这么使用border: #test-border { width: 100px; height: 100px; margin: 100px a ...
- 设计模式之单例模式(Java)
单例模式 问题 多线程操作同一对象保证对象的一致性 解决思路 只有一次实例化过程,产生一个实例化对象,并提供返回该对象的方法. 单例模式的分类 1 饿汉式 在加载类的时候就产生实例对象 public ...
- 入职小白随笔之Android四大组件——内容提供器详解(Content Provider)
Content Provider 内容提供器简介 内容提供器(Content Provider)主要用于在不同的应用程序之间 实现数据共享的功能,它提供了一套完整的机制,允许一个程序访问另一个程序中的 ...