(2) Apache的日志文件
K-vWa2 Apache的日志文件是非常重要的,可以发现apache的运行状况和访问情况,对于判断入侵等有重要帮助。它的默认选项是:
*hhmTc# # 错误日志存放目录,默认是存放在apache安装目录的logs下
W[bmzvJ_X ErrorLog logs/error_log
;E;To\NCYF # 日志记录的级别,级别有debug, info, notice, warn, error, crit等,默认是“warn”级别
E`\8TqO LogLevel warn
+]xFoH
# 访问日志记录的格式,每一种格式都有不同的内容,根据你的需要进行定制,以获取最多访问信息
Pf_F59" LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
5i6
hp;= LogFormat "%h %l %u %t \"%r\" %>s %b" common
>B -q@D LogFormat "%{Referer}i -> %U" referer
AIl4]F5I LogFormat "%{User-agent}i" agent
~!iQ6N?PY # 使用上面格式的那一种,默认是使用common
B/f0P(7 CustomLog logs/access_log common
B1
0+*p( qZk'tRv 文件格式预定义的格式内容:
hi2sec|;< %a 远程用户IP
klOp ^w %A 本地httpd服务器的ip
rnFM/GAy %f 传送的文件名
kfb/n)b' %h 远程主机
U'( sn %m 请求方式
}ucIH@U{ %l identd给出的远程名
9-1#( Y6S %p 连接的httpd端口号
\0;(VLN'U %P 请求的httpd进程
*O$CaAr\s %t 时间
f|EUqu%E %T 服务请求时间
i%Z2wP.o 你可以定制自己的日志格式,然后通过CustomLog logs/access_log common来进行调用。
;^u*hZN[Up q z&+=d@ 注意,日志文件是由运行Apache的用户进行打开的,要注意该文件的安全,防止被黑客改写或者删除。
t G.(flW, m4w')r~ (3) Apache服务信息显示控制
jn%kG ~]'Q 在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的:
F!!N9VIC ServerSignature On
o5o^TW{ 默认为On,那么将显示所有信息:
~,6b_W p/ 我故意访问一个不存在的文件:
http://www.target.com/404.html 5AeQQU 那么就会在给的错误提示中显示如下信息:
sd re#@n} Apache/2.0.53 (Unix) PHP/4.3.11 Server at target.com Port 80
\t4tiCw o}Cq.[G4k 所有Apache和PHP的信息暴露无遗,这是很不安全的。当然同时还有Off和EMail选项,Off将不显示任何信息,EMail将显示管理员的邮箱地址,建议设为Off或者EMail,这样能够避免泄漏Apache服务器的信息给黑客。
+t)n;JHN kYwb -; (4) 目录浏览
ws/63d* 在httpd.conf中可以设置apache能够对一些没有索引文件的网页目录进行目录浏览:
F N[R(SLbL G* b2,9&F Options Indexes FollowSymLinks
yBed kj AllowOverride None
we7c`1E =1;= 这是不合适也不安全的,建议不需要目录浏览:
9W`Frx'h1 NmIHYN3 Options FollowSymLinks
B6P|Z%E;D6 AllowOverride None
^nK7i[yF.k gYop--\14] ybdd;t}&1 (5) 用户主页
xG&SX#[2 设置httpd.conf中的:
+#J,BKul UserDir public_html
\$*$='6" 能够使得每个使用系统的用户在自己的主目录下建立 public_html 目录后就能够把自己的网页放进该目录,然后通过:
t=euE{c http://www.target.com/~用户名/网页 就能够显示自己的网页,这是不安全的,而且对于我们服务器来讲,这没有必要,所以我们直接关闭该功能:
Kr`]_m UserDir disabled
+V862R4,o 或者把该内容改名,改成 一个黑客比较不容易猜到的文件名,比如:
q~K(]Ya/ UserDir webserver_public_htmlpath
@JkK99\(>9 也可以只允许部分用户具有该功能:
qF)<H UserDir enabled user1 user2 user3
7Du1RuxP nxm$}!Df (6) CGI执行目录
,.IEDF<& 如果你的apache要执行一些perl等cgi程序,那么就要设置一下选项:
(WlIwKP ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
.S\&L-{ 但是这也给了黑客利用一些不安全的cgi程序来进行破坏,所以如果你不需要cgi的话,建议关闭该选项:
xFv;1Q #ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
JOnyrks 4JIYbb-a' (7) 控制PHP脚本只能访问指定目录
lG<hlYckv 在httpd.conf添加如下内容:
I,6/21kO php_admin_value open_basedir /usr/www
8euZTfK9e 后面的路径是你需要PHP脚本能够访问的目录,如果PHP脚本想要访问其他目录将出项错误提示。
cTZ.}eLh ,38Eq`5&W (8) 目录访问控制 (未完)
Tsb{25`+ 这项内容最复杂,同时涉及的东西也比较多,我只能简单说一下,不清楚请参考其他文章。
'fwU]Hm 比如下面的内容:
n_D8JF VzS&`d.h Options FollowSymLinks
@gGRm AllowOverride None
6~meM@ DrW#v-d 就是允许访问每一个目录,里面设置的是允许执行的动作,一般包含的动作有:Options、AllowOverride、Order、Allow、Deny。
&:*q_$]Oz Options是只对指定目录及其子目录能够执行的操作,Indexes、Includes、FollowSymLinks、ExecCGI、MultiViews、None、All等操作。
tCF&OOI4` AllowOverride是指定目录访问的权限,当然也可以通过 AccessFileName文件指定的 .htaccess 来控制。它的操作有:None、All、Options、FileInfo、AuthConfit、Limit等。
[p r"ZQ] Order、Allow、Deny三个指令必须配合来控制目录访问权限。Order指定检查次序的规则,比如Order Allow, Deny,表示先按Allow检查,如果不匹配再按Deny进行检查。Order Deny, Allow ,表示先按Deny规则检查,如果不满足条件,再按Allow进行检查。
Y]`.InG@ 6qvp*35Cx 控制目录访问权限的文件
E9!N>0 默认在Unix平台下能够使用 .htaccess 来对目录权限进行规则定义,但是这是不安全的,建议关闭,默认的选项:
s=I'e/"7 AccessFileName .htaccess
\g)Xt?w0Wo 建议设成:
RH;:9_*F #AccessFileName .htaccess
g\oSG) 全部目录权限定义使用httpd.conf中的定义,不使用 .htaccess。
9<CG s3\ g\A
y`.s (9) 用户访问认证
L}{`h 这个技术非常重要,能够控制一些非法用户访问本内容。假设我们的网站:
http://www.target.com/admin 是我们的后台管理目录,我不允许一些非法用户进行访问,那么我就必须设定对该目录访问是需要验证的。
\6|/RFT 先在httpd.conf中加入要进行访问认证的目录:
,FQdtNMap >ndJNinV authtype basic
:q##fG'm/ authname "Private"
JMBK{J K> authuserfile /usr/local/apache/bin/admin.dat
5wt TP ;P require user login_user
']6VB,c` Options Indexes FollowSymlinks MultiViews
JHn*->m AllowOverride None
R614#yn-+ >"X\>M`" 上面我们就设置了我们的 /usr/www/admin目录是必须进行认证才能访问的,接着我们设置访问密码:
s'P( ,!f # /usr/local/apahche/bin/htpasswd -c /usr/local/apache/bin/admin.dat login_name
bJr[I New password: *****
ug 7o>PX Re-type new password: *****
XdEPbD- Adding password for user login_name
Vsq8H}K DmqX"x%P 那么下次任何用户访问
http://www.target.com/admin目录的时候就需要输入用户名login_name和你设置的密码。
zRl~^~sY DLPUqKL] +';>=hha 2. PHP安全设置
"L"150Ih {43yb_B( PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。
kQdt}o]) 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。
mo]KCi 整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。
`RQ#. 92W&x' (1) 打开php的安全模式
DLE8+NV8
php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:
tY W>t9 safe_mode = on
d~tuk4F l":c (2) 用户组安全
)bO BQbj 当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。
5R MS( 建议设置为:
$e%2t^ i.g safe_mode_gid = off
Zwt; d5U 如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。
D6D1S/:ij' Z~G my7h( (3) 安全模式下执行程序主目录
PnT)LqEF 如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:
&FdWFt=X safe_mode_exec_dir = /usr/bin
gA#RM5x@ 一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,然后把需要执行的程序拷贝过去,比如:
f}%D"gz safe_mode_exec_dir = /tmp/cmd
JM$.O;y
- 但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:
nHFrG
=o, safe_mode_exec_dir = /usr/www
"LhUxnll .o{0+fC# (4) 安全模式下包含文件
1tzV8(7 如果要在安全模式下包含某些公共文件,那么就修改一下选项:
?gGt2O1J safe_mode_include_dir = /usr/www/include/
yQS+P8x&|] 其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。
yWPIIWHx! EER`?Sa( (5) 控制php脚本能访问的目录
w [>;a.$ 使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问/etc/passwd等文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:
_S0+;9fhY open_basedir = /usr/www
ajhEL?%D z:Sigo_z[ (6) 关闭危险函数
H2gj=krK 如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的phpinfo()等函数,那么我们就可以禁止它们:
QA!_} N4n disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
b}ODWdJ1 如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作
Lju7,/UD disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
UQCo}vM 以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,就能够抵制大部分的phpshell了。
k?nQ?B
W w-B^
[< (7) 关闭PHP版本信息在http头中的泄漏
^y viV
Y 我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:
10Wz,vW,n expose_php = Off
]T!
}XXK 比如黑客在 telnet
www.target.com 80 的时候,那么将无法看到PHP的信息。
>>d m}X {X]R-1> (8) 关闭注册全局变量
9V uq,dv 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
".*x!l0y7 register_globals = Off
co 4h*?q 当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,那么就要用$_GET['var']来进行获取,这个php程序员要注意。
n#Dv2 E=6 gB,G.QM*6 (9) 打开magic_quotes_gpc来防止SQL注入
[t\B6XxT SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。php.ini中有一个设置:
}n,Zl>T9 magic_quotes_gpc = Off
%3;Fgk y 这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为:
!4"sX+z9 magic_quotes_gpc = On
HY;o^drd I<b?vR 'F (10) 错误信息控制
FX<b:# 一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:
8$N8}q% display_errors = Off
<3PL@orO 如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
$Kj&)&M error_reporting = E_WARNING & E_ERROR
3CjL\pIC 当然,我还是建议关闭错误提示。
- "*r $S*4r&8ZD (11) 错误日志
K[\'"HyQ,X 建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:
}G46g#_6d> log_errors = On
Q "r_!f 同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
u]^N&2UW error_log = /usr/local/apache2/logs/php_error.log
[mxTa\ 注意:给文件必须允许apache用户的和组具有写的权限
/76 1o\Q 3. Mysql的安全设置
D-imL;| 3
vP(SIF 我们把Mysql安装在 /usr/local/mysql目录下,我们必须建立一个用户名为mysql,组为mysql的用户来运行我们的mysql,同时我们把它的配置文件拷贝到 /etc目录下:
5M]z5}n/ # cp suport-files/my-medium.cnf /etc/my.cnf
Hk_y/97OO chown root:sys /etc/my.cnf
v}G]X Z8 chmod 644 /etc/my.cnf
z7.|fE)<6 xynw8;Y, 使用用户mysql来启动我们的mysql:
0XwHP{XaO # /usr/local/mysql/bin/mysqld_safe -user=mysql &
:A46~UA!$ E{xVc;t (1) 修改root用户的的口令
XALI<ZY 缺省安装的mysql是没有密码的,所以我们要修改,以防万一。下面采用三种方式来修改root的口令。
*MNHT`Y^o =!Vf * 用mysqladmin命令来改root用户口令
g o5]<4`r # mysqladmin -uroot password test
F-(dRSDNM 这样,MySQL数据库root用户的口令就被改成test了。(test只是举例,我们实际使用的口令一定不能使用这种易猜的弱口令)
SQsSa1 %,@vWmn * 用set password修改口令:
R`Aj|C
z mysql> set password for root@localhost=password('test');
wCs3:@UH
这时root用户的口令就被改成test了。
39U5jj7i +eQe%U * 直接修改user表的root用户口令
$m1<i?'m mysql> use mysql;
YIt9M,5/Q mysql> update user set password=password('test') where user='root';
qVjWV$j mysql> flush privileges;
5lKJll^2: %ugHhS! 这样,MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表,否则用的还是缓冲中的口令,这时非法用户还可以用root用户及空口令登陆,直到重启MySQL服务器。
2s*#u<I ~pk(L[G (2) 删除默认的数据库和用户
I|oT0y& 我们的数据库是在本地,并且也只需要本地的php脚本对mysql进行读取,所以很多用户不需要。mysql初始化后会自动生成空用户和test库,这会对数据库构成威胁,我们全部删除。
31^cz*V 我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示:
:vx$vZb mysql> drop database test;
A|#`k{+1- mysql> use mysql;
L(;WxHL mysql> delete from db;
,iNv' mysql> delete from user where not(host="localhost" and user="root");
eC
DIwB28 mysql> flush privileges;
8GPIZh'0h c;f!!3& (3) 改变默认mysql管理员的名称
ymY1o$qWB} 这个工作是可以选择的,根据个人习惯,因为默认的mysql的管理员名称是root,所以如果能够修改的话,能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库,把root用户改为"admin"
5OIc(YhYf mysql> use mysql;
K)7zKEp`cj mysql> update user set user="admin" where user="root";
n>,L=wV mysql> flush privileges;
;:S&F e[u?_h (4) 提高本地安全性
{",MCu_V 提高本地安全性,主要是防止mysql对本地文件的存取,比如黑客通过mysql把/etc/passwd获取了,会对系统构成威胁。mysql 对本地文件的存取是通过SQL语句来实现,主要是通过Load DATA LOCAL INFILE来实现,我们能够通过禁用该功能来防止黑客通过SQL 注射等获取系统核心文件。
DVZdClAL 禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数:
>!e<}84b set-variable=local-infile=0
c97{Pu djQv[Vc{ (5) 禁止远程连接mysql
]e:/" 因为我们的mysql只需要本地的php脚本进行连接,所以我们无需开socket进行监听,那么我们完全可以关闭监听的功能。
E! /[gZ 有两个方法实现:
%Kh4m7 * 配置my.cnf文件,在[mysqld]部分添加 skip-networking 参数
8rZ!ia! * mysqld服务器中参数中添加 --skip-networking 启动参数来使mysql不监听任何TCP/IP连接,增加安全性。如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理。
CF!Sa 6 <mA'X V, (6) 控制数据库访问权限
*F^wtH` 对于使用php脚本来进行交互,最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限,这样就很好避免了数据库用户名和密码被黑客查看后最小损失。
9L0GLmLk1u 比如下面我们创建一个数据库为db1,同时建立一个用户test1能够访问该数据库。
t22;87&| mysql> create database db1;
I:&/`K4,x, mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by 'admindb';
snM Z0W 以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop操作权限。
3FSqd<t;D g3n'aD@'x (7) 限制一般用户浏览其他用户数据库
iq#b#PYA 如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。
lLq<xf .%BT,$1K (8) 忘记mysql密码的解决办法
Mk 0+D# 如果不慎忘记了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &),这样我们就可以直接登陆MySQL服务器,然后再修改root 用户的口令,重启MySQL就可以用新口令登陆了。
F~#zxwd 6dH }]~a (9) 数据库文件的安全
tbo>%kn 我们默认的mysql是安装在/usr/local/mysql目录下的,那么对应的数据库文件就是在/usr/local/mysql/var目录下,那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问。
|LG4=j.l 我们修改该目录的所属用户和组是mysql,同时改变访问权限:
Bm$"WbOq*R # chown -R mysql.mysql /usr/local/mysql/var
E"iUq # chmod -R go-rwx /usr/local/mysql/var
SEwku} 2Q7R6*<N: (10) 删除历史记录
^{$FI`P 执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读,那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码。
F+ <Z<q 另外这两个文件我们也应该不让它记录我们的操作,以防万一。
] H~4 # rm .bash_history .mysql_history
b2(RpY2Y # ln -s /dev/null .bash_history
a?}
.Fs # ln -s /dev/null .mysql_history
0l*]L`]L# w1x"
c>1C (11) 其他
'k;4 j|< 另外还可以考虑使用chroot等方式来控制mysql的运行目录,更好的控制权限,具体可以参考相关文章。
B0$:b! sKz`aqI >%p{38 4. vsFTPd安全设置
!1T\cS#1% MfO:m[s vsFTPd是一款非常著名的ftp daemon程序,目前包括Redhat.com在内很多大公司都在使用,它是一款非常安全的程序,因为它的名字就叫:Very Secure FTP Daemon (非常安全的FTP服务器)。
1sE?YJP- vsftpd设置选项比较多,涉及方方面面,我们下面主要是针对安全方面进行设置。
8*SDiZ 目前我们的需求就是使用系统帐户同时也作为是我们的FTP帐户来进行我们文件的管理,目前假设我只需要一个帐户来更新我的网站,并且我不希望该帐户能够登陆我们的系统,比如我们的网站的目录是在/usr/www下面,那么我们新建一个用户ftp,它的主目录是/usr/www,并且它的shell 是/usr/sbin/nologin,就是没有shell,防止该用户通过ssh等登陆到系统。
_8fr6tO+ A61^[Y,dX_ 下面在进行系统详尽的设置,主要就是针对vsftpd的配置文件vsftpd.conf文件的配置。
Mj-vgn&/ ,H}_%}10 (1) 禁止匿名用户访问, 我们不需要什么匿名用户,直接禁止掉:
vzzE-(\\e anonymous_enable=NO
RpG+>"1] M}:=zcZ l (2) 允许本地用户登陆,因为我们需要使用ftp用户来对我们网站进行管理:
+;BAV local_enable=YES
exh/CK4; |Z\R*b" (3) 只允许系统中的ftp用户或者某些指定的用户访问ftp,因为系统中帐户众多,不可能让谁都访问。
N- e$^pST 打开用户文件列表功能:
vr#+0:| userlist_enable=YES
-&