/usr/local/apache2/web/为网站根目录,打开php.ini,安全加固配置办法如下:

open_basedir = /usr/local/apache2/web/

须要多个目录时,以冒号隔开如:

iisphppopen权限Web 情况平安 优化建议例 AJAX

open_basedir = /usr/local/apache2/web/:/tmp/:/data/adc/

隐蔽 PHP 版

攻击者在信息网络时候无法判断程序版本,增加防御系数。
打开php.ini 安全加固配置办法如下,隐蔽版本设置:

expose_php =off

off

修正 PHP 配置文件php.ini,添加如下配置:

safe_mode = on

safe_mode_gid = off

关闭全局变量,配置如下:

register_globals = off

er_globa

Web 木马程序常日利用 PHP 的分外函数实行系统命令,查询任意目录文件,增加修正删除文件等。
PHP 木马程序常利用的函数为: dl, eval, assert, exec, popen, system, passthru, shell_exec 等。

修正 PHP 配置文件php.ini,添加如下配置:

disable_functions= dl,eval,assert,exec,passthru,popen,proc_open,shell_exec,system,phpinfo,assert

可酌情调度函数内容。

nfo,assert

magicquotesgpc 会把引用的数据中包含单引号 ' 和双引号 " 以及反斜线 \ 自动加上反斜线,自动转译符号,确保数据操作的精确运行,magicquotesgpc 的设定值将会影响通过 Get/Post/Cookies 得到的数据,可以有效的防止 SQL 注入漏洞。

打开php.ini,安全加固配置办法如下,打开 magicquotesgpc 设置:

magicquotesgpc = On

otesgpc 设置:

magicquotesgpc = On

其他参考配置开启 magic_quotes_runtime,对文件或者数据库中取出的数据过滤,能很好的办理二次注入漏洞。
magic_quotes_runtime = On关闭缺点信息提示:display_errors = offdisplay_startup_errors = off开启缺点日志记录,闭 display_errors 后能够把缺点信息记录下来,便于查找做事器运行的缘故原由,同时也要设置缺点日志存放的目录,建议跟 webserver 的日志放在一起。
log_errors = Onerror_log = /usr/local/apache2/logs/php_error.log不许可调用 dl:enable_dl = off关闭远程文件,许可访问 URL 远程资源使得 PHP 运用程序的漏洞变得更加随意马虎被利用,PHP 脚本若存在远程文件包含漏洞可以让攻击者直接获取网站权限及上传 Web 木马,一样平常会在 PHP 配置文件中关闭该功能,若须要访问远程做事器建议采取其他办法,如 libcurl 库:allow_url_fopen = offallow_url_include = off开启 http only:session.cookie_httponly = 1cookie domain开启 https secure:session.cookie_secure = 1适当的 PHP redirects:cgi.force_redirect = 0SQL 的安全模式:sql.safe_mode = onApache 安全优化建议Ap

Apache 安装好后,存在默认的示例页面:

须要删除两个目录:icons、manual ,并且注释或删除 Apache 配置文件中的以下两行内容:

Alias /icons/ "/usr/share/apache2/icons/"

AliasMatch ^/manual(?:/(?:de|en|es|fr|ja|ko|ru))?(/.)?$ "/usr/share/apache2/manual$1

如果 Apache 以 daemon 普通用户启动,则黑客通过网站漏洞入侵做事器后,将得到 Apache 的 daemon 权限,因此须要确认网站 Web 目录和文件的属主与 Apache 启动用户不同,防止网站被黑客恶意修改和删除。
网站 Web 目录和文件的属主可以设置为 root 等(非 Apache 启动用户)。
Web 目录权限统一设置为755,Web 文件权限统一设置为644( cgi 文件若需实行权限可设置为 755),只有上传目录等须要可读可写权限的目录可以设置为777。

假设网站目录为/usr/local/apache2/htdocs/,上传目录为/usr/local/apache2/htdocs/upload/

chown -R root:root /usr/local/apache2/htdocs/

chmod 755 /usr/local/apache2/htdocs/

find /usr/local/apache2/htdocs/ -type d -exec chmod 755 {} \;

find /usr/local/apache2/htdocs/ -type f -exec chmod 644 {} \;

chmod –R 777 /usr/local/apache2/htdocs/upload/

为了防止黑客在777权限目录中上传或者写入 Web 木马,因此须要设置 777 权限的目录不能实行或访问脚本。
禁止实行或访问脚本的安全配置如下:

Web 木马,因此须要设置 777 权限的目录不能实行或访问脚本。
禁止实行或访问脚本的安全配置如下:

<Directory "/usr/local/apache2/htdocs/yourpath">

Options None

AllowOverride None

Order deny,allow

deny from all

<FilesMatch "\.(jpg|jpeg|gif|png)$">

Order deny,allow

allow from all

</FilesMatch>

</Directory>

肃清目录浏览漏洞

Apache 默认许可目录浏览,如果目录下没有索引文件则会涌现目录浏览漏洞。

须要把 Apache 配置文件中的全部 “Indexes” 删除或者改为 “-Indexes”

开启访问日志

开启日志有助于发生安全事宜后方便进行入侵回溯,剖析缘故原由及定位攻击者:

CustomLog /www/logs/access_log common

默认情形下,Apache 已开启访问日志记录,请在 Apache 配置文件中确认已开启访问日志。

其他参考配置FollowSymLinks此指令为默认启用,因此在创建符号链接到网页做事器的文档 root 目录时,请慎重行事。
例如,请勿为“/”供应符号链接。
ServerTokens ProductOnlyserversignature OffApache 默认输出的 banner 会泄露关键信息,如做事器 OS 类型、Apache 版本、安装的运用程序类型及版本。
暴露过多的信息只会给黑客带来便利。
在 Apache 配置文件中,修正 ServerToken、ServerSignatre 设置(如果没有这两行配置,请自行添加)。
UserDir此指令可确认系统中用户帐户是否存在,以是要默认禁用UserDir指令。
要在做事器上启用用户名目录浏览,则须利用以下指令:UserDir enabledUserDir disabled root这些指令用于/root/之外的所有用户目录,可激活其用户目录浏览这一功能。
在禁用帐户列表中添加用户,要在UserDir disabled命令行添加以空格分隔的用户列表。
Tomcat 安全优化建议Apache 软件下载

该当从 Tomcat 官方供应的下载页面进行安装支配。

Tom

编辑server.xml配置文件,确保在 HOST 标签中有记录日志功能,配置如下:

<valve cassname=”org.apache.catalina.valves.AccessLogValve”

Directory=”logs” prefix=”localhost_access_log.”

Suffix=”.txt”

Pattern=”common” resloveHosts=”false”/>

false”/>

把稳:

默认 Tomca

为了限定脚本的访问权限,戒备 webshell 木马,建议启动时增加安全参数启动,如采取如下办法启动 Tomcat:

Tomcat/bin/startup.sh –security

n/startup.

删除tomcat/webapps/目录下的所有文件及目录,已知webapps目录包含:

Tomcat/webapps/docs/

Tomcat/webapps/examples/

Tomcat/webapps/host-manager/

Tomcat/webapps/manager/

Tomcat/webapps/ROOT/

删除 Tomcat 的 admin 掌握台软件:删除{Tomcat安装目录}\webapps下admin.xml文件。

删除 Tomcat 的 Manager 掌握台软件:删除{Tomcat安装目录}\webapps下manager.xml文件。

安装目录}\webapps下manager.xml文件。

删除 jspx 文件解析

Tomcat 默认是可以解析 jspx 文件格式的后缀,解析 jspx 给做事器带来了极大的安全风险,若不须要利用 jspx 文件,建议删除对 jspx 的解析,详细操作为修正 conf/web.xml 文件,将如下

Tomcat 在程序实行失落败时会有缺点信息提示,可能泄露做事器的敏感信息,须要关闭缺点提示信息。
可以通过指定缺点页面的办法不将缺点信息显示给用户,修正tomcat/conf/web.xml,增加如下配置项:

<error-page>

<error-code>500</error-code>

<location>/500.jsp</location>

</error-page>

r-code>

<location>/500.jsp</location>

</error-page>

把稳:

可以根据须要自行增加相应的缺点码,常见的如500,404等,location 选项为指定跳转的页面,该 jsp 文件须要自己天生。

Nginx 安全优化建议Nginx 软件的下载

该当从 Nginx 官方供应的下载页面下载进行支配按照,须要下载最新稳定版本。
把稳不要下载

cat/etc/nginx/nginx.conf

Nginx 默认不许可目录浏览,请检讨目录浏览的干系配置,确保没有目录浏览漏洞。
确保 autoindex 的配置为 off ,即 autoindex off 或者没有配置 autoindex。

没有目录

开启日志有助于发生安全事宜后回溯剖析全体事宜的缘故原由及定位攻击者。

默认情形下,Nginx 已开启访问日志记录,请在 Nginx 配置文件中确认已开启访问日志access_log

/backup/nginx_logs/access.log combined;

N

cat/etc/nginx/nginx.conf

添加这行配置:server_tokens off

ces

删除 Nginx 默认首页 index.html,业务可以自行创建默认首页代替之。

删除如下配置信息:

这行配置:server_tokens off

删除默认页

删除 Nginx 默认首页 index.html,业务可以自行创建默认首页代替之。

删除如下配置信息:

:

location /doc { root /usr/share; autoindex on; allow 127.0.0.1; deny all; } location /images { root /usr/share; autoindex off; }

删除首页 index.html 后,新建其他首页内容不许可涌现如下首页内容:

其他配置隐蔽 Nginx 版本信息,打开配置文件 隐蔽版本设置:Server_tokens off;攻击者在信息网络时候无法判断程序版本,增加防御系数。
禁用非必要的要求方法:if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; }trace 要求用于网络诊断,会暴露信息,只许可 GET、HEAD、POST 要求,其他要求直接返回444状态码 (444是 Nginx 定义的相应状态码,会立即断开连接,没有相应正文,TRACE 要求 Nginx 内置405谢绝)。