您当前位置： > > 安全类

　　一、Web运行环境LNMPA安全配置

　　1、主要是配置php.ini文件

　　（1）关闭php错误日志

　　display_errors = On改为display_errors = Off（2）禁用不安全PHP函数

　　PHP函数禁用找到（根据情况禁用部分函数，不使用、已经可能被利用的函数都可禁用，）根据实际情况，把需要禁用函数写在“=”的后面，每个以英文的逗号“,”分开。

　　disable_functions =

　　譬如禁用以下函数：disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status（3）关闭php信息

　　expose_php = On改为expose_php = Off

　　不轻易透露自己php版本信息，防止黑客针对这个版本的php发动攻击（4）cookie中HttpOnly属性（如果不设置，个别安全检测软件，会检测抛出安全提醒！）友情提示：PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置session.cookie_httponly = 1

　　设置其值为1

　　(5)PHP全局函数声明找到

　　register_globals = Off

　　网络上很多关于PHP设置的文章都推荐将该选项设置为On,其实这是一种及其危险的设置方法,很可能引起严重的安全性问题。如果没有特殊的需要,强烈推荐保留默认设置!

　　二、应用程序（xpaper产品）

　　1、随时关注官方网站https://www.jinostart.com 资源下载频道=》

　　https://www.jinostart.com/html/comp1/category/xpaperdownload/25-1.shtml=》及时更新升级补丁

　　2、购买产品年维保服务,确保可以更新最新版本升级补丁以及升级服务三、应用服务器安全配置（此小节仅供参考，视具体情况，自行调整运维策略）综述，及时关注Linux 官网所公布的升级包通知，或安全公告，并依据安装发行版本及时采取相应的措施。

　　【友情提示】：

　　（1）以下内容并非必选操作；

　　（2）操作时，需要视具体情况，在保障系统正常运行的情况做好操作系统的镜像/系统盘+数据盘的快照，进行运维。

　　1、服务器防火墙配置

　　需要自行配置，开放基本端口，譬如：

　　web：默认443/80

　　ftp：默认21

　　数据库：Mysql默认3306、Sqlserver默认端口号为1433、Oracle默认端口号为：1521、DB2 默认端口号为：5000、PostgreSQL默认端口号为：54322、关闭不需要的服务

　　在linux机器上通常有四项服务是必须保留的

　　iptables

　　linux下强大的防火墙，只要机器需要连到网上，哪里离得开它network

　　linux机器的网络，如果不上网可以关闭，只要上网当然要打开它sshd

　　这是openssh server,如果你的机器不是本地操作，而是托管到IDC机房，那么访问机器时需要通过这个sshd服务进行

　　syslog

　　这是linux系统的日志系统，必须要有，

　　否则机器出现问题时会找不到原因

　　最好，保留的还有

　　atd

　　crond

　　lvm2-monitor

　　microcode_ctl

　　sendmail

　　除了这四项必需的服务之外，其他的服务需要保留哪些呢?

　　关闭方法：比如，

　　cups

　　#/etc/init.d/cups stop

　　#chkconfig cups off

　　3、关闭不需要的tty

　　#vi /etc/inittab

　　找到如下一段：

　　1:2345:respawn:/sbin/mingetty tty1

　　2:2345:respawn:/sbin/mingetty tty2

　　3:2345:respawn:/sbin/mingetty tty3

　　4:2345:respawn:/sbin/mingetty tty4

　　5:2345:respawn:/sbin/mingetty tty5

　　6:2345:respawn:/sbin/mingetty tty6

　　注释掉后4个，保留前2个就足够了

　　然后无需重启机器，只需要执行 init q 这个命令即可#init q

　　q作为参数的含义：重新执行/etc/inittab中的命令修改完成后需重启机器使之生效

　　如果没有，则保存退出

　　# ：q!      #保存退出

　　4、如何关闭atime?

　　一个linux文件默认有3个时间：

　　atime:对此文件的访问时间

　　ctime:此文件inode发生变化的时间

　　mtime:此文件的修改时间

　　如果有多个小文件时通常没有必要记录文件的访问时间，这样可以减少磁盘的io,比如web服务器的页面上有多个小图片如何进行设置呢?

　　修改文件系统的配置文件：vi /etc/fstab

　　在包含大量小文件的分区中使用noatime,nodiratime两项例如：

　　/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0这样文件被访问时就不会再产生写磁盘的io

　　5、一定要让你的服务器运行在level 3上

　　做法：

　　vi /etc/inittab

　　id:3:initdefault:

　　让服务器运行X是没有必要的，如果初学者，就设置为图形桌面模式，既id:5:initdefault:

　　6,优化sshd

　　X11Forwarding no //不进行x图形的转发

　　UseDNS no //不对IP地址做反向的解析

　　7、优化shell

　　修改命令history记录

　　# vi /etc/profile

　　找到 HISTSIZE=1000 改为 HISTSIZE=100

　　然后 source /etc/profile (使其生效即可)

　　或者使用命令，如下：

　　我们需要修改他的环境变量；命令如下

　　#sed -i ‘s/HISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile#source /etc/profile (使其生效即可)

　　8、停止ipv6

　　#vi /etc/modprobe.config

　　在末尾加上

　　alias net-pf-10 0ff

　　alias ipv6 off

　　9、查看 SELinux状态及关闭SELinux

　　查看SELinux状态：

　　#/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status:             enabled

　　关闭SELinux：

　　(1)临时关闭（不用重启机器）：

　　setenforce 0              ##设置SELinux 成为permissive模式##setenforce 1 设置SELinux 成为enforcing模式(2)、修改配置文件需要重启机器：

　　修改/etc/selinux/config 文件

　　将SELINUX=enforcing改为SELINUX=disabled

　　重启机器即可

　　10、修改ssh配置

　　# vi /etc/ssh/sshd_config    #打开系统SSH配置文件在文件中查找 PermitRootLogin 这句话

　　“PermitRootLogin no”表示不允许root用户远程登录,“PermitRootLogin yes”表示允许root用户远程如果Protocol 2,1;就改为Protocol 2

　　在其中加入一句

　　Port 50000

　　#:wq    #保存退出

　　重启ssh 服务 使其生效

　　# /etc/init.d/sshd restart

　　11、linux服务器如何禁ping

　　禁ping

　　修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 的值为1恢复

　　修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 的值为0

【已被访问：4184 次】

转载请以链接形式注明出处:

本篇文章来源于 "xpaper报刊网|蛙盟云平台" ：http://yun.womtech.net/html/col1/index.shtml

更多技术资讯，请访问公司官网http://www.jinostart.com

xpaper数字报刊系统介绍，请访问https://www.jinostart.com/html/comp1/content/newsmedia/2016-07-22/1-40-1.shtml