保证Linux Apache Web服务器安全的10个建议

如果你是一个系统管理员,你应该按照以下的10点建议来保证Apache web服务器的安全。

1、禁用不必要的模块

如果你打算源码编译安装apache,你应该禁用以下的模块。如果你运行./configure -help,你将会看到所有可用的你可以禁用/开启的模块。

  • userdir –用户特定用户的请求映射。例如:带用户名的URL会转化成服务器的一个目录。
  • autoindex – 当没有默认首页(如index.html)时显示目录列表。
  • status –显示服务器统计
  • env – 清除或修改环境变量
  • setenvif –根据客户端请求头字段设置环境变量
  • cgi –CGI脚本
  • actions – 根据特定的媒体类型或请求方法,激活特定的CGI脚本
  • negotiation –提供内容协商支持
  • alias – 提供从文件系统的不同部分到文档树的映射和URL重定向
  • include –实现服务端包含文档(SSI)处理
  • filter –根据上下文实际情况对输出过滤器进行动态配置
  • version –提供基于版本的配置段支持
  • asis – 发送自己包含HTTP头内容的文件

当你执行./configure按照下面禁用以上的所有模块。

  1. ./configure
  2. –enable-ssl
  3. –enable-so
  4. –disable-userdir
  5. –disable-autoindex
  6. –disable-status
  7. –disable-env
  8. –disable-setenvif
  9. –disable-cgi
  10. –disable-actions
  11. –disable-negotiation
  12. –disable-alias
  13. –disable-include
  14. –disable-filter
  15. –disable-version
  16. –disable-asis

如果激活ssl且禁用mod_setenv,你将会得到以下错误。
错误: Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf: Invalid command ‘BrowserMatch’, perhaps misspelled or defined by a module not included in the server configuration
解决方案:如果你使用ssl,不要禁用setenvif模块。或者你禁用setenvif模块,可以在httpd-ssl.conf注释BrowserMatch。
安装完成全,执行httpd -l,会列出所有已安装的模块。

  1. # /usr/local/apache2/bin/httpd -l
  2. Compiled in modules:
  3.   core.c
  4.   mod_authn_file.c
  5.   mod_authn_default.c
  6.   mod_authz_host.c
  7.   mod_authz_groupfile.c
  8.   mod_authz_user.c
  9.   mod_authz_default.c
  10.   mod_auth_basic.c
  11.   mod_log_config.c
  12.   mod_ssl.c
  13.   prefork.c
  14.   http_core.c
  15.   mod_mime.c
  16.   mod_dir.c
  17.   mod_so.c

在这个例子里,我们安装了如下apache模块:

  • core.c –Apache核心模块
  • mod_auth* –各种身份验证模块
  • mod_log_config.c –允许记录日志和定制日志文件格式
  • mod_ssl.c – SSL
  • prefork.c – 一个非线程型的、预派生的MPM
  • httpd_core.c – Apache核心模块
  • mod_mime.c – 根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码)
  • mod_dir.c – 指定目录索引文件以及为目录提供”尾斜杠”重定向
  • mod_so.c – 允许运行时加载DSO模块

2、以单独的用户和用户组运行Apache

Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如:用户apache。
创建apache用户组和用户。

  1. groupadd apache
  2. useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache

更改httpd.conf,正确地设置User和Group。

  1. # vi httpd.conf
  2. User apache
  3. Group apache

之后重启apache,执行ps -ef命令你会看到apache以“apache”用户运行(除了第一个都是以root运行之外)。

  1. # ps -ef | grep -i http | awk ‘{print $1}’
  2. root
  3. apache
  4. apache
  5. apache
  6. apache
  7. apache

3、限制访问根目录(使用Allow和Deny)

在httpd.conf文件按如下设置来增强根目录的安全。

  1. <Directory />
  2.     Options None
  3.     Order deny,allow
  4.     Deny from all
  5. </Directory>

在上面的:

  • Options None –设置这个为None,是指不激活其它可有可无的功能。
  • Order deny,allow – 这个是指定处理Deny和Allow的顺序。
  • Deny from all –阻止所有请求。Deny的后面没有Allow指令,所以没人能允许访问。

4、为conf和bin目录设置适当的权限

bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个组是一个不错的授权方法。
下面我们设置这个组为:apacheadmin
创建组:

  1. groupadd apacheadmin

允许这个组访问bin目录。

  1. chown -R root:apacheadmin /usr/local/apache2/bin
  2. chmod -R 770 /usr/local/apache2/bin

允许这个组访问conf目录。

  1. chown -R root:apacheadmin /usr/local/apache2/conf
  2. chmod -R 770 /usr/local/apache2/conf

增加合适的用户到这个组。

  1. # vi /etc/group
  2. apacheadmin:x:1121:user1,user2

5、禁止目录浏览

如果你不关闭目录浏览,用户就能看到你的根目录(或任何子目录)所有的文件(目录)。
比如,当他们浏览http://{your-ip}/images/而images下没有默认首页,那么他们就会在浏览器中看到所有的images文件(就像ls -l输出)。从这里他们通过点击就能看到私人的图片文件,或点点击子目录看到里面的内容。
为了禁止目录浏览,你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在该目录删除这个特性。
Indexes选项会在浏览器显示可用文件的列表和子目录(当没有默认首页在这个目录)。所以Indexes应该禁用。

  1. <Directory />
  2.   Options None
  3.   Order allow,deny
  4.   Allow from all
  5. </Directory>
  6.  
  7. (or)
  8.  
  9. <Directory />
  10.   Options -Indexes
  11.   Order allow,deny
  12.   Allow from all
  13. </Directory>

6、禁用.htaccess

在htdocs目录下的特定子目录下使用.htaccess文件,用户能覆盖默认apache指令。在一些情况下,这样不好,应该禁用这个功能。
我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。

  1. <Directory />
  2.   Options None
  3.   AllowOverride None
  4.   Order allow,deny
  5.   Allow from all
  6. </Directory>

7、禁用其它选项

下面是一些Options指令的可用值。

  • Options All –所有的选项被激活(除了MultiViews)。如果你不指定Options指令,这个是默认值。
  • Options ExecCGI –执行CGI脚本(使用mod_cgi)。
  • Options FollowSymLinks –如果在当前目录有符号链接,它将会被跟随。
  • Options Includes –允许服务器端包含文件(使用mod_include)。
  • Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。
  • Options Indexes –允许目录列表。
  • Options MultiViews -允许内容协商多重视图(使用mod_negotiation)
  • Options SymLinksIfOwnerMatch – 跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有者是才被允许。

绝不要指定“Options All”,通常指定上面的一个或多个的选项。你可以按下面代码把多个选项连接。
Options Includes FollowSymLinks
当你要嵌入多个Directory指令时,“+”和“-”是有用处的。也有可能会覆盖上面的Directory指令。
如下面,/site目录,允许Includes和Indexes。

  1. <Directory /site>
  2.   Options Includes Indexes
  3.   AllowOverride None
  4.   Order allow,deny
  5.   Allow from all
  6. </Directory>

对于/site/en目录,如果你需要继承/site目录的Indexes(不允许Includes),而且只在这个目录允许FollowSymLinks,如下:

  1. <Directory /site/en>
  2.   Options -Includes +FollowSymLink
  3.   AllowOverride None
  4.   Order allow,deny
  5.   Allow from all
  6. </Directory>
  • /site目录允许IncludesIndexes
  • /site/en目录允许Indexes和FollowSymLink

8、删除不需要的DSO模块

如果你加载了动态共享对象模块到apache,他们应该在httpd.conf文件在“LoadModule”指令下。
请注意静态编译的Apache模块是不在“LoadModule”指令里的。
在httpd.conf注释任何不需要的“LoadModules”指令。

  1. grep LoadModule /usr/local/apache2/conf/httpd.conf

9、限制访问特定网络(或IP地址)

如果你需要只允许特定IP地址或网络访问你的网站,按如下操作:
只允许特定网络访问你的网站,在Allow指令下给出网络地址。

  1. <Directory /site>
  2.   Options None
  3.   AllowOverride None
  4.   Order deny,allow
  5.   Deny from all
  6.   Allow from 10.10.0.0/24
  7. </Directory>

只允许特定IP地址访问你的网站,在Allow指令下给出IP地址。

  1. <Directory /site>
  2.   Options None
  3.   AllowOverride None
  4.   Order deny,allow
  5.   Deny from all
  6.   Allow from 10.10.1.21
  7. </Directory>

10、禁止显示或发送Apache版本号(设置ServerTokens)

默认地,服务器HTTP响应头会包含apache和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。

  1. Server: Apache/2.2.17 (Unix) PHP/5.3.5

为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。

  1. # vi httpd.conf
  2. ServerTokens Prod

下面是ServerTokens的一些可能的赋值:

  • ServerTokens Prod 显示“Server: Apache”
  • ServerTokens Major 显示 “Server: Apache/2″
  • ServerTokens Minor 显示“Server: Apache/2.2″
  • ServerTokens Min 显示“Server: Apache/2.2.17″
  • ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”
  • ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) PHP/5.3.5″ (如果你这指定任何的值,这个是默认的返回信息)

除了上面10个apache的安全建议,你还必要确保你的UNIX/Linux操作系统的安全。如果你的操作系统不安全,那么只是确保apache的安全就没有任何意义了。通常的我们要保持apache版本的更新,最新的apahce版本会修复所有已知的安全问题。还有就是要确保时常查看apache日志文件。

如何卸载lnmp

  1. killall nginx
  2. /etc/init.d/mysql stop
  3. killall mysqld
  4. /usr/local/php/sbin/php-fpm stop
  5. killall php-cgi
  6. rm -rf /usr/local/php
  7. rm -rf /usr/local/nginx
  8. rm -rf /usr/local/mysql
  9. rm -rf /usr/local/zend
  10. rm /etc/my.cnf
  11. rm /etc/init.d/mysql
  12. rm /root/vhost.sh
  13. rm /root/lnmp

CentOS 5.x 系统下使用yum 升级php到5.2.x 最方便方法

WordPress需要PHP的版本5.2x以上,如果你的PHP是yum安装的,很有可能PHP的版本是5.1x,通过以下方法升级PHP到5.2比较方便,现推荐给大家。

  1. # rpm –import http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka
  2. # vi /etc/yum.repos.d/CentOS-Base.repo

增加下面信息

  1. [utterramblings]
  2. name=Jason’s Utter Ramblings Repo
  3. baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
  4. enabled=1
  5. gpgcheck=1
  6. gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

执行命令,自动升级。

  1. yum update php -y
  2. yum install libmcrypt -y

如何让APACHE支持.htaccess

如何让自己的本地APACHE服务器支持”.htaccess”呢?其实只要简单修改一下apache的httpd.conf设置就可以让APACHE支持.htaccess了,来看看操作

  打开httpd.conf文件(在那里? APACHE目录的CONF目录里面),用文本编辑器打开后,查找

  1. <Directory />
  2.   Options FollowSymLinks
  3.   AllowOverride None
  4. </Directory>

  改为

  1. <Directory />
  2.   Options FollowSymLinks
  3.   AllowOverride All
  4. </Directory>

  就可以了

CentOS 5 RPM安装MySQL 5.5.14

下载所需RPM软件包

http://dev.mysql.com/downloads/mysql/5.5.html#downloads找到所需的RPM包。
所需的RPM包如下

  • Server
  • Client
  • Shared libraries
  • Headers and libraries

以CentOS 5 32位为例,我们需要下载如下RPM包及依赖。

  1. wget http://dev.mysql.com/get/Downloads/MySQL-5.5/MySQL-server-5.5.14-1.rhel5.i386.rpm/from/http://mysql.he.net/
  2. wget http://dev.mysql.com/get/Downloads/MySQL-5.5/MySQL-client-5.5.14-1.rhel5.i386.rpm/from/http://mysql.he.net/
  3. wget http://dev.mysql.com/get/Downloads/MySQL-5.5/MySQL-shared-5.5.14-1.rhel5.i386.rpm/from/http://mysql.he.net/
  4. wget http://dev.mysql.com/get/Downloads/MySQL-5.5/MySQL-devel-5.5.14-1.rhel5.i386.rpm/from/http://mysql.he.net/
  5. wget ftp://ftp.sunet.se/pub/Linux/distributions/redhat/redhat-archive/redhat/linux/9/en/os/i386/RedHat/RPMS/libaio-0.3.93-4.i386.rpm

安装软件

  1. rpm -ivh libaio-0.3.93-4.i386.rpm
  2. rpm -ivh MySQL-server-5.5.14-1.rhel5.i386.rpm
  3. rpm -ivh MySQL-client-5.5.14-1.rhel5.i386.rpm
  4. rpm -ivh MySQL-shared-5.5.14-1.rhel5.i386.rpm
  5. rpm -ivh MySQL-devel-5.5.14-1.rhel5.i386.rpm

启动MySQL服务器并设置密码

  1. service mysql start
  2. mysql_secure_installation

CentOS 5.5 系统安全配置

1、注释掉不需要的用户和用户组

  1. vi /etc/passwd
  1. #adm
  2. #lp
  3. #sync
  4. #shutdown
  5. #halt
  6. #news
  7. #uucp
  8. #operator
  9. #games
  10. #gopher
  11. #ftp
  1. vi /etc/group
  1. #adm
  2. #lp
  3. #news
  4. #uucp
  5. #games
  6. #dip

2、给下面的文件加上不可更改属性,从而防止非授权用户获得权限

  1. #chattr +i /etc/passwd
  2. #chattr +i /etc/shadow
  3. #chattr +i /etc/group
  4. #chattr +i /etc/gshadow

权限修改之后,就无法添加删除用户了。要取消之前的修改,

  1. #lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow

lsattr 只是显示文件的属性

  1. #chattr -i /etc/passwd
  2. #chattr -i /etc/shadow
  3. #chattr -i /etc/group
  4. #chattr -i /etc/gshadow

再次查看
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
————- /etc/passwd
————- /etc/shadow
————- /etc/group
————- /etc/gshadow
修改完之后,再执行

  1. chattr +i /etc/passwd
  2. chattr +i/etc/shadow
  3. chattr +i /etc/group
  4. chattr +i/etc/gshadow

禁止Ctrl+Alt+Delete重新启动机器命令

3、修改/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行注释掉。

然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:

  1. # chmod -R 700 /etc/rc.d/init.d/*

这样便仅有root可以读、写或执行上述所有脚本文件。

4、限制su命令

当不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:

  1. auth sufficient /lib/security/pam_rootok.sodebug
  2. auth required /lib/security/pam_wheel.sogroup=isd

这时,仅isd组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令:

  1. #usermod -G 10 admin

5、防止攻击

1)阻止ping, 抵御SYN:
如果没人能ping通系统,安全性自然增加了,为此,我们可以在/etc/rc.d/rc.local文件中增加如下一行

  1. echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all

SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
Linux内核提供了若干SYN相关的配置,用命令:

  1. sysctl -a | grep syn

看到:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。
加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分SYN攻击,降低重试次数也有一定效果。
调整上述设置的方法是:
vi /etc/rc.d/rc.local ,将下面的命令法添加进去

  1. sysctl -w net.ipv4.tcp_max_syn_backlog=2048 #增加SYN队列长度到2048
  2. sysctl -w net.ipv4.tcp_syncookies=1 #打开SYN COOKIE功能
  3. sysctl -w net.ipv4.tcp_synack_retries=3 #降低重试次数
  4. sysctl -w net.ipv4.tcp_syn_retries=3

2)防止IP欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

  1. order hosts,bind #名称解释顺序
  2. multi on #允许主机拥有多个IP地址
  3. nospoof on #禁止IP地址欺骗

3)防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
例如,可以在/etc/security/limits.conf中添加如下几行:

  1. * hard core 0
  2. * hard rss 5000
  3. * hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
session required /lib/security/pam_limits.so
4)修改sshd_config文件
首先修改配置文件 vi /etc/ssh/sshd_config
a 修改SSH端口
找到#Port 22一段,这里是标识默认使用22端口,修改为如下:

  1. Port 22
  2. Port 50000

然后保存退出
执行/etc/init.d/sshd restart
这样SSH端口将同时工作与22和50000上。
现在编辑防火墙配置:vi /etc/sysconfig/iptables
启用50000端口。
执行/etc/init.d/iptables restart
现在请使用ssh工具连接50000端口,来测试是否成功。
如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22删除,即可。
b 只使用SSH v2
将#Protocol 2,1改为 Protocol 2
c 限制用户的SSH访问
假设我们只要root,vivek和jerry用户能通过SSH使用系统,向sshd_config配置文件中添加:

  1. AllowUsers root vivek jerry

d 配置空闲超时退出时间间隔
用户可以通过ssh登录到服务器,你可以设置一个空闲超时时间间隔避免出现孤儿ssh会话,打开sshd_config配置文件,确保有如下的配置项:

  1. ClientAliveInterval 300
  2. ClientAliveCountMax 0

上面的例子设置的空闲超时时间间隔是300秒,即5分钟,过了这个时间后,空闲用户将被自动踢出出去(可以理解为退出登录/注销)。
e 禁用.rhosts文件
不要读取用户的~/.rhosts和~/.shosts文件,使用下面的设置更新sshd_config配置文件:
IgnoreRhosts yes
SSH可以模拟过时的rsh命令的行为,rsh被公认为是不安全的远程访问协议,因此必须得禁用掉。

6、限制不同文件的权限

  1. [root@localhost ~]# chmod 700 /usr/bin/
  2. [root@localhost ~]# chmod 750 /usr/bin/*++*
  3. [root@localhost ~]# chmod 750 /usr/bin/c++*
  4. [root@localhost ~]# chmod 750 /usr/bin/ld
  5. [root@localhost ~]# chmod 750 /usr/bin/as
  6. [root@localhost ~]# locate sqlaccess
  7. /opt/lampp/bin/mysqlaccess
  8. [root@localhost ~]# chmod 755 /opt/lampp/bin/mysqlaccess
  9. [root@localhost ~]# chattr +a .bash_history
  10. [root@localhost ~]# chattr +i .bash_history
  11. [root@localhost ~]# chmod 700 /bin/ping
  12. [root@localhost ~]# chmod 700 /usr/bin/finger
  13. [root@localhost ~]# chmod 700 /usr/bin/who
  14. [root@localhost ~]# chmod 700 /usr/bin/w
  15. [root@localhost ~]# chmod 700 /usr/bin/locate
  16. [root@localhost ~]# chmod 700 /usr/bin/whereis
  17. [root@localhost ~]# chmod 700 /usr/bin/vim
  18. [root@localhost ~]# chmod 700 /usr/bin/make
  19. [root@localhost ~]# chmod 700 /bin/netstat
  20. [root@localhost ~]# chmod 700 /usr/bin/tail
  21. [root@localhost ~]# chmod 700 /usr/bin/less
  22. [root@localhost ~]# chmod 700 /usr/bin/head
  23. [root@localhost ~]# chmod 700 /bin/cat
  24. [root@localhost ~]# chmod 700 /bin/uname
  25. [root@localhost ~]# chmod 500 /bin/ps
  26. [root@localhost ~]# chmod 500 /usr/sbin/lsof

转自:http://blog.sina.com.cn/s/blog_5fd841bf0100phjg.html

CentOS Nginx的一个初始化脚本(用于启动、停止、查看状态)

当你使用源码编译安装Nginx的时候,管理Nginx非常的不方便,比如启动Nginx的命令就很长,这就需要一个初始化脚本来实现诸如使用service nginx start就可以启动Nginx。下面我们来一步步配置安装。

  1. wget http://devops.webres.wang/wp-content/uploads/2011/07/nginx
  2. mv nginx /etc/rc.d/init.d/
  3. chmod 755 /etc/rc.d/init.d/nginx
  4. /etc/rc.d/init.d/nginx status

现在把Nginx加入chkconfig,并设置开机启动。

  1. chkconfig –add nginx
  2. chkconfig nginx on

启动、停止,查看状态的命令如下:

  1. service nginx start
  2. service nginx stop
  3. service nginx status