安全加固

Nginx安全加固:

Nginx配置文件 (nginx.conf):/usr/local/nginx/nginx.conf

禁用autoindex:

autoindex:是Nginx的目录浏览功能,如果不禁用该功能,就可以通过URL访问查看目录中的文件

为了防止文件目录的泄露我们必须要禁用autoindexoff或者不配置

关闭服务器标记:

Nginx默认每个返回的页面携带版本信息,我们需要设置server_tokens off;关闭服务器标记(隐藏版本信息)

自定义缓存:

限制缓冲区溢出攻击,配置http_server{}如下:文章推荐

client_body_buffer_size 20k; //设置用于请求主体的缓冲区大小
client_header_buffer_size 1k; // 请求头分配一个缓冲区大小
client_max_body_size 1m; //设置NGINX能处理的最大请求主体大小
large_client_header_buffers 4 8k; //读取大型客户端请求头的缓冲区的最大数量和大小
# client_body_temp_path [temp]指定存储请求正文的临时文件的位置
# client_body_in_single_buffer [off/on]指令设置NGINX将完整的请求主体存储在单个缓冲区中
# client_body_in_file_only [off/clean/on] 禁用NGINX缓冲区并将请求体存储在临时文件中

设置(超时)timeout:

http{}设置:配置介绍

client_body_timeout 10;//指定客户端与服务端建立连接后发送 body 的超时时间
client_header_timeout 30;//指定客户端与服务端建立连接后发送 header 的超时时间
keepalive_timeout 60;//无状态协议,发送tcp请求,服务器响应[time]后断开连接
send_timeout 30; //服务端向客户端传输数据的超时时间。

配置日志:

系统有默认的格式日志,但是被注释了,取消注释就可以了

限制请求访问:

限制只允许GET|HEAD|POST等HTTP请求方法~~~

黑名单IP:

server{}配置选项中:

location /{
allow 192.168.2.0/24; //允许的IP
deny 192.168.1.0/24; //拒绝的IP
deny all; //拒绝其它IP
}

在Nginx配置文件中进行许多安全加固:

  • 屏蔽了目录和服务器标记

  • 定义了超时和缓存定义

  • 对访问机制进行了限制

CentOS安全加固:

检查预留账号:

$ cat /etc/passwd
$ cat /etc/shadow
$ cat /etc/group

系统中保留一些账号,(bin,sys,adm……)

为了安全起见,生产环境下的系统都会将这些没有用的 账户锁定

锁定账号:

$ passwd -l <username>	//锁定账号
$ passwd -u <username> //解锁账号

检查空口令:

$ awk -F ":" '($2=="!"){print $1}' /etc/shadow

如果发现空口令账号可以添加密码:

$ passwd <username>

密码策略:

$ cat /etc/login.defs  // 查看密码策略设置

PASS_MAX_DAYS		用户密码的使用天数
PASS_MIN_DAYS 最小时间间隔修改密码
PASS_MIN_LEN 密码最小长度
PASS_WARN_AGE 密码过期前N天提示

检查其它超级用户:

正所谓军队只能有一个最高领导人~Linux系统管理也是如此,只得有一个超级用户root,

$ awk -F ":" '($3=="0"){print $1}' /etc/passwd    # 检查用户ID为0的用户

限制能够su为root的用户:

$ cat /etc/pam.d/su

加固:

添加:auth required /lib/security/pam_wheel.so group=wheel

限制只有 wheel 组的用户可以su到root

文件操作属性:

将重要的文件添加不可改属性chattr +i <File_name>

SSH安全:

禁止root用户进行ssh登录~

$ vi /etc/ssh/sshd_config

设置PermitRootLoginno

账户爆破锁定系统:

$ vi etc/pam.d/system-auth

设置密码错误N次,锁定time秒

auth required pam_tally.so oneer=filad deny-<N> unlock_time=<time>

无操作退出登录:

$ vi /etc/profile TMOUT=<time>

time秒无效操作后自动退出登录

命令记录安全:

$ vi /etc/profiel

修改HISTSIZE=<N>属性值,限制历史记录N条命令记录

系统日志策略配置:

$ ps -aef | grep syslog //查看syslog服务是否开启
$ cat /etc/rsyslog.conf //查看syslogd配置 /var/log/cron //crom日志
/var/log/messages // 系统日志
/var/log/secure // 安全日志

简单的LNMP安全加固的更多相关文章

  1. 0123简单配置LNMP

    简单配置LNMP不怕出现错误,就怕错误不知道出现在哪里?看日值tail -f /var/log/message -- 系统整个的日志tail -f /var/log/nginx/error.log - ...

  2. centos7 简单搭建lnmp环境

    1:查看环境: 1 2 [root@10-4-14-168 html]# cat /etc/redhat-release CentOS release 6.5 (Final) 2:关掉防火墙 1 [r ...

  3. android加固系列—2.加固前先要学会破解,调试内存值修改程序走向

    [版权所有,转载请注明出处.出处:http://www.cnblogs.com/joey-hua/p/5138585.html] 因公司项目需要对app加固,经过本人数月的研究,实现了一套完整的仿第三 ...

  4. WDCP LNMPA和LNMP 504 Gateway time-out错误的解决方法

    Nginx的特点是处理静态很给力,Apache的特点是处理动态很稳定,两者结合起来便是LNMPA,nginx处理前端,apache处理后端,这样处理静态会很快,处理动态会很稳定.当我以为安装完成以后便 ...

  5. 网易易盾最新一代Java2c加固究竟有什么厉害之处?

    导语:几个月前,网易易盾正式推出Java2c加固.它以独有的"静态保护"技术,使得应用程序中的代码出现"下沉",达到不可逆的效果,兼顾"冷热启动时间& ...

  6. APK加固之静态脱壳机编写入门

    目录: 0x00APK加固简介与静态脱壳机的编写思路 1.大家都知道Android中的程序反编译比较简单,辛苦开发出一个APK轻易被人反编译了,所以现在就有很多APK加固的第三方平台,比如爱加密和梆梆 ...

  7. lnmp环境快速搭建及原理解析

    刚开始学习php的时候是在wamp环境下开发的,后来才接触到 lnmp 环境当时安装lnmp是按照一大长篇文档一步步的编译安装,当时是真不知道是在做什么啊!脑袋一片空白~~,只知道按照那么长的一篇文档 ...

  8. centos7 安装php7+mysql5.7+nginx+redis

    .1.先修改yum源  https://webtatic.com rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest- ...

  9. 一次Debug过程的思考

    前一段时间,部门接入了新业务,由于业务量小,架构非常简单,采用了最简单的LNMP架构,整个项目是交给一个刚毕业的RD负责的,这是背景. 上线前半天,服务平稳运行.下午的时候,开始收到大量报警:No h ...

随机推荐

  1. PHP7.3安装event扩展

    安装支持库libevent wget https://github.com/libevent/libevent/releases/download/release-2.1.11-stable/libe ...

  2. SAP QA32试图做UD,系统报错-工厂 BTYC中的 QM 基选设置需要维护

    SAP QA32 试图做UD,系统报错 - 工厂 BTYC 中的 QM 基选设置需要维护 - 检验批 10000062593,试图做使用决策,系统报错, 工厂 BTYC 中的 QM 基选设置需要维护 ...

  3. 浅析椭圆曲线加密算法(ECC)

    本文首发于先知社区,原文链接:https://xz.aliyun.com/t/6295 数学基础 黎曼几何中的"平行线" 欧几里得<几何原本>中提出五条公设: 过相异两 ...

  4. 【Linux 命令】cp 命令详解

    Linux 命令之 cp 命令详解 一.cp 命令简介 cp 命令主要用于复制文件或目录.即用来将一个或多个源文件或者目录复制到指定的目的文件或目录. cp 命令可以将单个源文件复制成一个指定文件名的 ...

  5. RHEL/CentOS 安装最新版Nginx

    本篇简单介绍如何在RHEL/CentOS安装最新版本的Nginx. Step 1:安装yum-utils [root@localhost ~]# cat /etc/redhat-release Cen ...

  6. SecureCRT远程连接The remote system refused the connection问题

    今天用SecureCRT远程连接Linux(Centos 7)时,连不上,报错The remote system refused the connection.于是就百度,首先查看sshd服务有没有启 ...

  7. 一文读懂分布式任务调度平台XXL-JOB

    本文主要介绍分布式任务调度平台XXL-JOB(v2.1.0版本),包括功能特性.实现原理.优缺点.同类框架比较等 基本介绍 项目开发中,常常以下场景需要分布式任务调度: 同一服务多个实例的任务存在互斥 ...

  8. CSS之border绘制三角形

    用CSS的border可以画出高质量的三角形. 我们一般会这么使用border: #test-border { width: 100px; height: 100px; margin: 100px a ...

  9. 设计模式之单例模式(Java)

    单例模式 问题 多线程操作同一对象保证对象的一致性 解决思路 只有一次实例化过程,产生一个实例化对象,并提供返回该对象的方法. 单例模式的分类 1 饿汉式 在加载类的时候就产生实例对象 public ...

  10. 入职小白随笔之Android四大组件——内容提供器详解(Content Provider)

    Content Provider 内容提供器简介 内容提供器(Content Provider)主要用于在不同的应用程序之间 实现数据共享的功能,它提供了一套完整的机制,允许一个程序访问另一个程序中的 ...