数字报刊制作系统,电子报软件,数字报软件,智慧全媒体,全媒体,新媒体,电子报平台,数字报平台,智慧云端生态,价值共享

您当前位置: > > 安全类

xpaper融媒体报刊系统在LNMPA安全配置与运维

  一、Web运行环境LNMPA安全配置

  1、主要是配置php.ini文件

  (1)关闭php错误日志

  display_errors = On改为display_errors = Off(2)禁用不安全PHP函数

  PHP函数禁用找到(根据情况禁用部分函数,不使用、已经可能被利用的函数都可禁用,)根据实际情况,把需要禁用函数写在“=”的后面,每个以英文的逗号“,”分开。

  disable_functions =

  譬如禁用以下函数:disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status(3)关闭php信息

  expose_php = On改为expose_php = Off

  不轻易透露自己php版本信息,防止黑客针对这个版本的php发动攻击(4)cookie中HttpOnly属性(如果不设置,个别安全检测软件,会检测抛出安全提醒!)友情提示:PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置session.cookie_httponly = 1

  设置其值为1

  (5)PHP全局函数声明找到

  register_globals = Off

  网络上很多关于PHP设置的文章都推荐将该选项设置为On,其实这是一种及其危险的设置方法,很可能引起严重的安全性问题。如果没有特殊的需要,强烈推荐保留默认设置!

  二、应用程序(xpaper产品)

  1、随时关注官方网站https://www.jinostart.com 资源下载频道=》

  https://www.jinostart.com/html/comp1/category/xpaperdownload/25-1.shtml=》及时更新升级补丁

  2、购买产品年维保服务,确保可以更新最新版本升级补丁以及升级服务三、应用服务器安全配置(此小节仅供参考,视具体情况,自行调整运维策略)综述,及时关注Linux 官网所公布的升级包通知,或安全公告,并依据安装发行版本及时采取相应的措施。

  【友情提示】:

  (1)以下内容并非必选操作;

  (2)操作时,需要视具体情况,在保障系统正常运行的情况做好操作系统的镜像/系统盘+数据盘的快照,进行运维。

  1、服务器防火墙配置

  需要自行配置,开放基本端口,譬如:

  web:默认443/80

  ftp:默认21

  数据库:Mysql默认3306、Sqlserver默认端口号为1433、Oracle默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:54322、关闭不需要的服务

  在linux机器上通常有四项服务是必须保留的

  iptables

  linux下强大的防火墙,只要机器需要连到网上,哪里离得开它network

  linux机器的网络,如果不上网可以关闭,只要上网当然要打开它sshd

  这是openssh server,如果你的机器不是本地操作,而是托管到IDC机房,那么访问机器时需要通过这个sshd服务进行

  syslog

  这是linux系统的日志系统,必须要有,

  否则机器出现问题时会找不到原因

  最好,保留的还有

  atd

  crond

  lvm2-monitor

  microcode_ctl

  sendmail

  除了这四项必需的服务之外,其他的服务需要保留哪些呢?

  关闭方法:比如,

  cups

  #/etc/init.d/cups stop

  #chkconfig cups off

  3、关闭不需要的tty

  #vi /etc/inittab

  找到如下一段:

  1:2345:respawn:/sbin/mingetty tty1

  2:2345:respawn:/sbin/mingetty tty2

  3:2345:respawn:/sbin/mingetty tty3

  4:2345:respawn:/sbin/mingetty tty4

  5:2345:respawn:/sbin/mingetty tty5

  6:2345:respawn:/sbin/mingetty tty6

  注释掉后4个,保留前2个就足够了

  然后无需重启机器,只需要执行 init q 这个命令即可#init q

  q作为参数的含义:重新执行/etc/inittab中的命令修改完成后需重启机器使之生效

  如果没有,则保存退出

  # :q!      #保存退出

  4、如何关闭atime?

  一个linux文件默认有3个时间:

  atime:对此文件的访问时间

  ctime:此文件inode发生变化的时间

  mtime:此文件的修改时间

  如果有多个小文件时通常没有必要记录文件的访问时间,这样可以减少磁盘的io,比如web服务器的页面上有多个小图片如何进行设置呢?

  修改文件系统的配置文件:vi /etc/fstab

  在包含大量小文件的分区中使用noatime,nodiratime两项例如:

  /dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0这样文件被访问时就不会再产生写磁盘的io

  5、一定要让你的服务器运行在level 3上

  做法:

  vi /etc/inittab

  id:3:initdefault:

  让服务器运行X是没有必要的,如果初学者,就设置为图形桌面模式,既id:5:initdefault:

  6,优化sshd

  X11Forwarding no //不进行x图形的转发

  UseDNS no //不对IP地址做反向的解析

  7、优化shell

  修改命令history记录

  # vi /etc/profile

  找到 HISTSIZE=1000 改为 HISTSIZE=100

  然后 source /etc/profile (使其生效即可)

  或者使用命令,如下:

  我们需要修改他的环境变量;命令如下

  #sed -i ‘s/HISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile#source /etc/profile (使其生效即可)

  8、停止ipv6

  #vi /etc/modprobe.config

  在末尾加上

  alias net-pf-10 0ff

  alias ipv6 off

  9、查看 SELinux状态及关闭SELinux

  查看SELinux状态:

  #/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status:             enabled

  关闭SELinux:

  (1)临时关闭(不用重启机器):

  setenforce 0              ##设置SELinux 成为permissive模式##setenforce 1 设置SELinux 成为enforcing模式(2)、修改配置文件需要重启机器:

  修改/etc/selinux/config 文件

  将SELINUX=enforcing改为SELINUX=disabled

  重启机器即可

  10、修改ssh配置

  # vi /etc/ssh/sshd_config    #打开系统SSH配置文件在文件中查找 PermitRootLogin 这句话

  “PermitRootLogin no”表示不允许root用户远程登录,“PermitRootLogin yes”表示允许root用户远程如果Protocol 2,1;就改为Protocol 2

  在其中加入一句

  Port 50000

  #:wq    #保存退出

  重启ssh 服务 使其生效

  # /etc/init.d/sshd restart

  11、linux服务器如何禁ping

  禁ping

  修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 的值为1恢复

  修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 的值为0


【已被访问:2124 次】

转载请以链接形式注明出处:

本篇文章来源于 "xpaper报刊网|蛙盟云平台" :http://yun.womtech.net/html/col1/index.shtml

更多技术资讯,请访问公司官网http://www.jinostart.com

xpaper数字报刊系统介绍,请访问http://www.jinostart.com/cpjs/20110521/636.htm

评论

已有0人评论,点击查看

Xpaper数字报报刊云&蛙盟云 版权与免责声明:

① 凡本网注明“来源:xpaper&蛙盟云”的所有作品,版权均属于xpaper软件版权归金启程科技所有,未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:金启程科技&蛙盟云”。违反上述声明者,本网将追究其相关法律责任。

② 凡本网注明“来源:XXX(非xpaper&蛙盟云)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

③ 本网部分内容来自互联网,如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。

※ 联系方式:xpaper数字报报刊云&蛙盟云运营中心 Email:jinostart@126.com