關於對公司網站服務器安全加固的一些想法及思路:
一、修改密碼和ssh登錄端口,並且盡可能的用密鑰對登錄,禁止用密碼登錄(主要針對Linux)
二、修改/etc/hosts.allow 設置僅僅允許某幾台去ssh
sshd:45.195.
修改/etc/hosts.deny
sshd:ALL
in.telnet:ALL
三、把系統中的一些不必要的用戶和組可以直接注釋掉,例如mail,postfix這些郵件相關的可以注釋掉,可以減小黑客通過這樣的賬戶進入系統進行提權操作。
四、開機自動啟動的服務盡可能減少,除了nginx(apache)、mysql、寶塔、php等相關的,其余的盡可能的減少
五、關閉無用的端口,同上。
六、所有重要文件的權限需要盡可能的嚴格設置(這下面的內容有點多)
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
chattr +a .bash_history #避免刪除.bash_history或者重定向到/dev/null
修改系統重要執行命令的權限
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 700 /bin/ps
chmod -R 700 /etc/rc.d/init.d/*
chmod 700 /usr/bin/chmod
chmod 700 /usr/bin/chown
七.網站和數據庫做到定期備份,目錄和文件的權限要嚴格設置,不能讓其提權
八.要適當利用Linux的特殊權限作出針對性的設置,合理利用sticky權限位提高安全性,網站目錄給定的權限需要給定1755
chmod 1755 目錄名
chmod o+t 目錄名
九.ssh登錄的方式盡量采取證書登錄而非密碼登錄 (所有Linux服務器已經全部支持證書登錄了,目標已完成)
十:禁用系統用戶權限
十一:修改默認命令記錄歷史(vim /etc/bashrc)
export HISTSIZE=1000000 #修改命令記錄條數 export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S `whoami` " #記錄操作時間、操作用戶 source /etc/bashrc
十二:關閉Centos7的111端口
由於111端口是有系統1號進程服務systemd啟動,其上面跑的是rpcbind服務,停止的方法不能用kill,具體方法如下
# 停止進程
$ systemctl stop rpcbind.socket
$ systemctl stop rpcbind
# 禁止隨開機啟動
$ systemctl disable rpcbind.socket
$ systemctl disable rpcbind