Board logo

标题: [教程] 实用的安全配置指引 2013-06-15更新 [打印本页]
作者: zhanjun    时间: 2013-5-29 09:42     标题: 实用的安全配置指引 2013-06-15更新

本帖最后由 zhanjun 于 2013-6-15 16:22 编辑

一:系统安装1当然大多数系统安装都是由空间商安装,所以接收VPS或者服务器之后,第一时间我们是修改root密码,root密码:必须超过8位,并且有符号和字母数字。

2精简服务:关掉以下服务项(除非你有特殊需要):kudzu cpuspeed isdn portmap nfslock rpcidmapd rpcgssd bluetooth netfs pcscd apmd hidd autofs hplip cups gpm xfs avahi-daemon yum-updatesd firstboot haldaemon


3所有服务的启动脚本应为root权限,并且为755属性


4安装好WDCP之后(请到官方www.wdlinux.cn上面发布安装包安装!),第一时间修改WDCP后台密码,数据库密码!


5在WDCP里面修改 WDCP端口默认是8080(建议修改)


6web服务器只开放80与22端口(WSCP登录端口22可以修改(建议修改))


7数据库服务器只开放3306与22端口


8除80,443和22,udp161(snmp),5666(nrpe)外,不允许其他服务LISTEN外网IP,161和5666端口必须限制IP


9为什么现在才说FTP呢?如无必要,禁止开启FTP服务,FTP密码传输为明文,容易被监听。所以我一般创建整站的时候都不创建FTP
二:站点使用安全常识
1禁止长期放置phpinfo等探针,phpmyadmin等管理程序,需要的时候放置,用完后移走到非站点目录。


2禁止在在运行的站点内放置测试程序,备份目录如bak,old文件夹一律移到非站点目录。


3禁止放置install文件夹,以及upgrade、xconvert 相关升级和转换文件。


4禁止目录下出现编辑器编辑后自动生成的备份文件,比如使用vim后留下的.swp ,Editplus留下的.bak文件。


5打包站点得来的zip,tar.gz,tar文件下载之后一律不能放到站点目录下,请放其它目录


6请使用正版程序,正版模板,正版插件


7网站管理员密码请加强!


三:PHP.ini设置
1 safe_mode官方默认是OFF,所以一般建议大家还是safe_mode = On(注意如果你是discuz程序请关闭,因为开启会有问题)
2 disable_functions = 官方默认没有禁止任何PHP函数,下面请大家把最危险的7个PHP功能函数禁用
    改成为disable_functions = system,exec,passthru,shell_exec,popen,proc_open,assert
    即可有效的防止别人通过PHP程序入侵服务器.
    修改之后,要重启IIS或者是apache才能生效的.

    修改过后请重启WEB
QQ截图20130615110652.png

为什么要修改了禁止函数了?
如果你感兴趣的话,不妨试试把以下代码另存为123.php
  1. <?php
  2. $cmd = 'net user admin99 admin99 /add';
  3. adduser($cmd);
  4. //$cmd = 'net localgroup administrators admin99 /add';
  5. //adduser($cmd);
  6. function adduser($cmd) {
  7. if (function_exists('exec')) {
  8.   @exec($cmd, $res);
  9.   $res = join("\n", $res);
  10. } elseif (function_exists('shell_exec')) {
  11.   $res = @shell_exec($cmd);
  12. } elseif (function_exists('system')) {
  13.   @ob_start();
  14.   @system($cmd);
  15.   $res = @ob_get_contents();
  16.   @ob_end_clean();
  17. } elseif (function_exists('passthru')) {
  18.   @ob_start();
  19.   @passthru($cmd);
  20.   $res = @ob_get_contents();
  21.   @ob_end_clean();
  22. } elseif (@is_resource($f = @popen($cmd, "r"))) {
  23.   die("$cmd");
  24.   $res = '';
  25.   while (!@feof($f)) {
  26.    $res .= @fread($f, 1024);
  27.   }
  28.   @pclose($f);
  29. }else{
  30.   die("你的服务器是安全的!");
  31. }
  32. die($res);
  33. }
  34. ?>
复制代码



图片附件: QQ截图20130615110652.png (2013-6-15 11:07, 30.23 KB) / 下载次数 6800
http://wdlinux.cn/bbs/attachment.php?aid=3093&k=2b825fc950b257103d992b9f4a7ea672&t=1733232401&sid=zjJyH4

作者: admin    时间: 2013-5-29 12:54

很好
作者: chengs2035    时间: 2013-5-29 15:08

不错不错。不过楼主要是能做个详细的例子就好了,我还是菜鸟,有些还是不懂。。
作者: marquis    时间: 2013-5-29 21:08

lz 有没有注意过一些服务器漏洞?



欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2