Linux網(wǎng)站安全加固

　　現(xiàn)在互聯(lián)網(wǎng)的重要性越來越大，很多人也對(duì)一些技術(shù)很感興趣，那么你知道Linux網(wǎng)站安全加固嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Linux網(wǎng)站安全加固的相關(guān)資料，供你參考。

　　Linux網(wǎng)站安全加固的方法：

　　php安全配置：

　　1. 確保運(yùn)行php的用戶為一般用戶，如www

　　2. php.ini參數(shù)設(shè)置

　　open_basedir可將用戶訪問文件的活動(dòng)范圍限制在指定的區(qū)域，通常是其家目錄的路徑，也可用符號(hào)"."來代表當(dāng)前目錄。注意用open_basedir指定的限制實(shí)際上是前綴,而不是目錄名。

　　舉例來說: 若"open_basedir = /home/wwwroot", 那么目錄"/home/wwwroot"和"/home/wwwroot1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄，請(qǐng)用斜線結(jié)束路徑名。

　　注意：

　　從網(wǎng)上獲取的資料來看，open_basedir會(huì)對(duì)php操作io的性能產(chǎn)生很大的影響。研究資料表明，配置了php_basedir的腳本io執(zhí)行速度會(huì)比沒有配置的慢10倍甚至更多，請(qǐng)大家自己衡量

　　open_basedir也可以同時(shí)設(shè)置多個(gè)目錄, 在Windows中用分號(hào)分隔目錄,在任何其它系統(tǒng)中用冒號(hào)分隔目錄。當(dāng)其作用于Apache模塊時(shí)，父目錄中的open_basedir路徑自動(dòng)被繼承。

　　mysql安全配置：

　　1. MySQL版本的選擇

　　在正式生產(chǎn)環(huán)境中，禁止使用4.1系列的MySQL數(shù)據(jù)庫。至少需要使用5.1.39或以上版本。

　　2. 網(wǎng)絡(luò)和端口的配置

　　在數(shù)據(jù)庫只需供本機(jī)使用的情況下，使用–skip-networking參數(shù)禁止監(jiān)聽網(wǎng)絡(luò) 。

　　3. 確保運(yùn)行MySQL的用戶為一般用戶，如mysql，注意存放數(shù)據(jù)目錄權(quán)限為mysql

　　4. 開啟mysql二進(jìn)制日志，在誤刪除數(shù)據(jù)的情況下，可以通過二進(jìn)制日志恢復(fù)到某個(gè)時(shí)間點(diǎn)

　　5. 認(rèn)證和授權(quán)

　　(1) 禁止root賬號(hào)從網(wǎng)絡(luò)訪問數(shù)據(jù)庫，root賬號(hào)只允許來自本地主機(jī)的登陸。

　　(2) 刪除匿名賬號(hào)和空口令賬號(hào)

　　web服務(wù)器安全配置：

　　確保運(yùn)行Nginx或者Apache的用戶為一般用戶，如www，注意存放數(shù)據(jù)目錄權(quán)限為www

　　防止sql注入代碼

　　if ( $query_string ~* ".*[\;'\<\>].*" ){ return 404;}

　　關(guān)閉存放數(shù)據(jù)上傳等目錄的PHP解析

　　location ~* ^/(attachments|data)/.*\.(php|php5)${deny all ;}

　　針對(duì)Apache：關(guān)閉圖片目錄/上傳等目錄的PHP解析

　　order allow,deny

　　Deny from all

　　木馬查殺與防范：

　　php木馬快速查找命令

　　grep -r --include=*.php '[^a-z]eval($_POST' /home/wwwroot/

　　grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /home/wwwroot/

　　利用find mtime查找最近兩天或者發(fā)現(xiàn)木馬的這幾天，有哪些PHP文件被修改

　　find -mtime -2 -type f -name \*.php

　　防范：

　　1. 做好之前的安全措施，比如禁用相關(guān)PHP函數(shù)

　　2. 改變目錄和文件屬性

　　3. 為防止跨站 感染，需要做虛擬主機(jī)目錄隔離

　　(1) nginx 的簡單實(shí)現(xiàn)方法

　　利用nginx跑多個(gè)虛擬主機(jī)，習(xí)慣的php.ini的open_basedir配置：

　　open_basedir = ./:tmp:/home/wwwroot/

　　注：/home/wwwroot/是放置所有虛擬主機(jī)的web路徑

　　黑客 可以利用任何一個(gè)站點(diǎn)的webshell進(jìn)入到/home/wwwroot/目錄下的任何地方，這樣對(duì)各個(gè)虛擬主機(jī)的危害就很大

　　例如： /data/www/wwwroot目錄下有2個(gè)虛擬主機(jī)

　　修改php.ini

　　open_basedir = ./:/tmp:/home/wwwroot/www.a.cn:/home/wwwroot/b.cn

　　這樣用戶上傳webshell就無法跨目錄訪問了。

　　(2) Apache的實(shí)現(xiàn)方法，控制跨目錄訪問

　　在虛擬機(jī)主機(jī)配置文件中加入

　　php_admin_value open_basedir "/tmp:/home/wwwroot/www.a.cn

　　看過文章“Linux網(wǎng)站安全加固”的人還看了：

　　1.教你Apache安全如何加固

　　2.Windows服務(wù)器的基礎(chǔ)安全加固方法

　　3.軟件檢測(cè)過的安全網(wǎng)站安全么?

　　4.防臺(tái)抗臺(tái)要注意的事項(xiàng)

　　5.防臺(tái)風(fēng)十招

　　6.初探局域網(wǎng)的安全控制與病毒防治策略

　　7.臺(tái)風(fēng)來襲時(shí)的居家安全常識(shí)

　　8.網(wǎng)絡(luò)安全操作工具

　　9.互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案推薦

　　10.Apache安全加固的方法