【正文】 ...... 26 SHELL命令記錄大小 ..................................................................................................................................... 27 ........................................................................................................................................... 27 用戶帳號(hào) ..................................................................................................... 27 SU作為 ROOT ..................................................................................................................................... 28 SSH 服務(wù)的 ROOT登錄權(quán)限 .......................................................................................................................... 28 ： ................................................................................................................................. 29 /內(nèi)部來(lái)的 PING 請(qǐng)求 ............................................................................................. 33 “/ETC/”文件 .................................................................................................................................. 34 ROOT登陸 .......................................................................................................... 34 CONTROLALTDELETE鍵盤關(guān)閉命令 ........................................................................................................... 35 CHATTR 命令給下面的文件加上不可更改屬性。將你的 openssl升級(jí)打牌 或更高的版本，偽造的密鑰將起不了任何作用，也不能滲透到系統(tǒng)中。 默認(rèn)情況下，系統(tǒng)會(huì)把 Apache 版本模塊都顯示出來(lái)（在 HTTP 返回頭中）。 默認(rèn)的 Apache 配置里沒有任何信息保護(hù)機(jī)制，并且允許目錄瀏覽。 以 Apache 為例，編輯 文件，修改“ define AP_SERVER_BASEPRODUCT\”Apache”\為“ define AP_SERVER_BASEPRODUCT\”micosoftIIS ” \” .修改完后，重新編譯，安裝 Apache。 serverroot 保存配置文件（ conf 子目錄）、二進(jìn)制文件和其他服務(wù)器配置文件。 scripalias 保存 CGI 腳本文件。 要求： serverroot 目錄應(yīng)該配置成為只能由 root 用戶訪問(wèn)， documentroot 應(yīng)該只能被管理 web 站點(diǎn)內(nèi)容的用戶訪問(wèn)和使用 Apache 服務(wù)器的 Apache 用戶的 Apache 用戶組訪問(wèn)。 必須保證 Apache 使用一個(gè)專門的用戶和用戶組，不要使用系統(tǒng)預(yù)置的賬號(hào)，比如nobody 用戶和 nogroup 用戶組。如果該文件不存在，那么 Apache 會(huì)創(chuàng)建一個(gè)動(dòng)態(tài)列表為用戶顯示該目錄的內(nèi)容。 （ 2） 禁止默認(rèn)訪問(wèn) 一個(gè)好的安全策略是要禁止默認(rèn)訪問(wèn)的存在，只對(duì)指定的目錄開啟訪問(wèn)權(quán)限，如果允許訪問(wèn) /var//html 目錄，則需要以下設(shè)置： Order deny,allow Allow from all （ 3） 禁止用戶重載 為了禁止用戶對(duì)目錄配置文件（ .htaccess）進(jìn)行重載（修改）可以這樣設(shè)置： Allowoverride None Apache 服務(wù)訪問(wèn)控制方法 Apache 的 文件負(fù)責(zé)文件的訪問(wèn)設(shè)置，可以實(shí)現(xiàn)互聯(lián)網(wǎng)域名和 IP 地址的訪問(wèn)控制。 Apache 配置文件中，需要關(guān)系和日志相關(guān)的配置文件有兩個(gè)： $ customLog //logs/access_log mon 記錄對(duì) web 站點(diǎn)的每個(gè)進(jìn)入請(qǐng)求 $ errorLog //logs/error_log mon 記錄產(chǎn)生錯(cuò)誤狀態(tài)的請(qǐng)求 Customlog用來(lái)指示 Apache的訪問(wèn)日志存放的位置和格式。 （ 2） Web 服務(wù)器日志輪循 Web 服務(wù)器日志輪循比較好的方式有三種，第一種是利用 Linux 系統(tǒng)自身的日志文件輪循機(jī)制 logrotate。因此為了保證統(tǒng)計(jì)的精確性，需要嚴(yán)格按照每天的時(shí)段來(lái)自動(dòng)生成日志。 要實(shí)現(xiàn)將 日志寫到管道的操作，只需要將配置文件中日志文件部分的內(nèi)容替換成“ |程序名”即可，例如： pressed logs $ custmonlog “|/user/bin/gzip –c /var/log/” mon 這樣就可以使用 Apache 服務(wù)自帶的輪循工具來(lái)對(duì)日志文件進(jìn)行輪循。 .htaccess 文件提供了針對(duì)目錄改變配置的方法，即通過(guò)在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件（ .htaccess），以作用于此目錄及其所有子目錄。另外，上傳 .htaccess 文件時(shí)，必須使用 ASCII 文件格式，并使用 chmod 命令改變權(quán)限為644（ RW_R_R_）每一個(gè)放置 .htaccess 文件的目錄和其子目錄都會(huì)被 .htaccess 影響。 .htpasswd 文件 中的每一行代表一個(gè)使用者，使用者的名字及經(jīng)過(guò)加密的密碼以冒號(hào)：分隔。 Requre validuser是指只要是 .htpassword 中的任何一個(gè)都可以進(jìn)入。以后要是再增加用戶，運(yùn)行第二行的命令時(shí)換一個(gè)用戶名即可。這樣很不安全，其實(shí)只要在 .htaccess 文件中加入以下幾行即可： file Order allow ,deny Deny from all /files 總之，通過(guò) .htaccess 文件來(lái)保護(hù)網(wǎng)站更為安全和方便?？刂?CGI 腳本的漏洞除了在編寫時(shí)要注意輸入數(shù)據(jù)的合法性檢查、對(duì)系統(tǒng)調(diào)用的謹(jǐn)慎使用等因素外，首先使用 CGI 腳本所有者的 uid 是怎樣的。原因是 模塊版本使用了線程，而 CGI 使用的進(jìn)程。這樣即使被破壞 或入侵，損失也不會(huì)很大。因?yàn)?Apache 進(jìn)程所處的根目錄仍為整個(gè)文件系統(tǒng)的根，如果能使用 chroot 將 Apache 限制在 /usr/local/d，那么， Apache 所能夠存取的文件都是 /usr/local/d 下的文件，創(chuàng)建 chroot 監(jiān)獄的作用就是將進(jìn)程權(quán)限限制在文件系統(tǒng)目錄樹中的某一子樹。這種特性使得 SSL 適用于那些交換重要信息的地方。 Apache 服務(wù)器防范 DoS 攻擊 可同通過(guò)編輯 文件的具體參數(shù)來(lái)防范拒絕服務(wù)攻擊，或減少傷害程度。 KeepAliveTimeout 值：設(shè)置為 15 或更少 MaxKeepAliveRequests 的值：不等于 0 這個(gè)命令會(huì)運(yùn)用 MySQL把本地文件讀到數(shù)據(jù)庫(kù)中，然后用戶就可以非法 獲取敏感信息了。盡管 MySQL 內(nèi)建的安全機(jī)制很嚴(yán)格，但監(jiān)聽一個(gè) TCP 端口仍然是危險(xiǎn)的行為，因?yàn)槿绻?MySQL 程序本身有疑問(wèn)，那么未授權(quán)的訪問(wèn)完全可以繞過(guò) MySQL 的內(nèi)建安全機(jī)制。 (將 mysql 的 root 用戶名修改成 centos，防止 root 的密碼被暴力 破解 ) mysqlselect Host,User,Password,Select_priv,Grant_priv from user。39。 (刪除默認(rèn)的 test 數(shù)據(jù)庫(kù) ) mysqlflush privileges。 修改 文件 內(nèi)容如下： listen=YESlisten_port=10021 // 你 可 以 在 這 里 指 定 監(jiān) 聽 的 端 口 ， 也 可 以 用 默 認(rèn) 的connect_from_port_20=YESftpd_banner=Wele to virtual FTP =NO //不許匿名登錄 local_enable=YES //允許本地用戶登錄 write_enable=NOanon_upload_enable=NO //這里先把虛擬用戶的權(quán)限設(shè)置成最低的 anon_mkdir_write_enable=NO //然后針對(duì)不同用戶設(shè)置相應(yīng)的權(quán)限anon_other_write_enable=NOchroot_local_user=YESguest_enable=YES // 允許虛擬用戶登錄guest_username=virtualpasv_min_port=30000pasv_max_port=30999pam_service_name= //這里的 pam根據(jù)步驟 3，設(shè)成相應(yīng)的 user_config_dir=/etc/vsftpd_user_conf //指定用戶配置文件的目錄xferlog_enable=YES //設(shè)置日志文件 xferlog_file=/var/log/ 用戶權(quán)限配置 注意最好用 chmod 600 把所有的文件設(shè)成只有 root 讀寫方式。 只允許通過(guò)指定的網(wǎng)絡(luò)接口來(lái)訪問(wèn) SSH 服務(wù) (如果一服務(wù)器有多個(gè) IP 的時(shí)候 ) 仍然是修改 /etc/ssh/sshd_config 加上一個(gè) record： ListenAddress 這樣就只允許別人通過(guò)連接改服務(wù)器上的網(wǎng)絡(luò)接口獲得的 去連接該服務(wù)器的 ssh 服務(wù)了。 為刪除你系統(tǒng)上的用戶，用下面的命令： [rootc1gstudio] userdel username 批量刪除方式 這里刪除 adm lp sync shutdown halt mail news uucp operator games gopher ftp 賬號(hào) 如果你開著 ftp等服務(wù)可以把 ftp賬號(hào)保留下來(lái)。do groupdel $i 。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷 root 賬戶，那將會(huì)帶來(lái)很大的安全隱患，應(yīng)該讓系統(tǒng)會(huì)自動(dòng)注銷。這樣，如果系統(tǒng)中登陸的用戶在 5 分鐘內(nèi)都沒有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。 您可以編輯 /etc/profile 文件，修改其中的選項(xiàng)如下 : HISTFILESIZE=30或 HISTSIZE=30 vi /etc/profile HISTSIZE=30 編輯 /etc/skel/.bash_logout 文件，增加如下行 : rm f $HOME/.bash_history 這樣，系統(tǒng)中的所有用戶在注銷時(shí)都會(huì)刪除其命令記錄。 二、使用 chkconfig 系統(tǒng)命令來(lái)關(guān)閉系統(tǒng)啟動(dòng)等級(jí)的服務(wù)。另外運(yùn)行以下命令可以了解還有多少服務(wù)在運(yùn)行： stat na ip 批量方式先停止服務(wù) for i in acpid anacron apmd atd auditd。 使用 chkcofig 命令來(lái)關(guān)閉不使用的系統(tǒng)服務(wù) (level 前面為 2 個(gè)減號(hào) )要想在修改啟動(dòng)腳本前了解有多少服務(wù)正在運(yùn)行，輸入： ps aux | wc l 然后修改啟動(dòng)腳本后，重啟系統(tǒng)，再次輸入上面的命令，就可計(jì)算出減少了多少項(xiàng)服務(wù)。 [rootc1gstudio] groupadd 例如：增加 website 用戶組， groupadd website 然后調(diào)用 vigr命令查看已添加的用戶組 用下面的命令加需要的用戶帳號(hào) [rootc1gstudio] useradd username –g website //添加用戶到website組（作為 webserver的普通管理員，而非 root管理員） 然后調(diào)用 vipw命令查看已添加的用戶 用下面的命令改變用戶口令（至少輸入 8位字母和數(shù)字組合的密碼，并將密碼記錄于本地機(jī)的專門文檔中，以防遺忘） [rootc1gstudio] passwd username su 作為 root 如果你不想任何人能夠 su 作為 root,你能編輯 /etc/： vi /etc/auth sufficient /lib/security/$ISA/ debug auth required /lib/security/$ISA/ grou