【正文】 注：在使用以下任何一種方法時(shí)，請先檢查需要關(guān)閉的服務(wù)是否是本服務(wù)器特別需要啟動支持的服務(wù)，以防關(guān)閉正常使用 的服務(wù)。 Shell 命令記錄 大小 默認(rèn)情況下， bash shell 會在文件 $HOME/.bash_history 中存放多達(dá) 500 條命令記錄 (根據(jù)具體的系統(tǒng)不同，默認(rèn)記錄條數(shù)不同 )。done 安裝 linux 時(shí)默認(rèn)的密碼最小長度是 5 個(gè)字節(jié)，但這并不夠，要把它設(shè)為 8 個(gè)字節(jié)。 限制空密碼登錄 如果有的系統(tǒng) account 設(shè)置的是空密碼，如果 ssh 沒有做相應(yīng)的設(shè)置，那么登錄 ssh的時(shí)候就算帳號的密碼是空的也是可以登錄的，我們?nèi)栽撛O(shè)置上面的那個(gè)文件 ，加上一個(gè) record： PermitEmptyPasswords no 即可 只允許某些用戶通過 ssh 訪問主機(jī) . userhost 也可用于限制指定用戶通過指定主機(jī)訪問 . AllowUsers alex ref mehostname 僅允許 alex ref 或者 hostname 這個(gè)機(jī)器上的 me 這個(gè) user 去連接該服務(wù)器的 ssh服務(wù) 僅允許某個(gè)組的成員通過 ssh 訪問主機(jī) . AllowGroups 和 AllowUsers 對于拒絕訪問主機(jī)有同樣的效果 . 當(dāng)稱它們?yōu)? DenyUsers 和 DenyGroups 時(shí)不要覺得奇怪 . AllowGroups wheel admin 禁用版本 1 協(xié)議 , 因?yàn)槠湓O(shè)計(jì)缺陷 , 很容易使密碼被黑掉 . 更多信息 , 參閱 ssh 協(xié)議問題報(bào)告 或 Xforce 通告 . Protocol 2 為用戶連接到 ssh 服務(wù)器增加一個(gè)標(biāo)題 (它將從文件讀取 ), 在一些國家 , 登入 指 定系統(tǒng)前 , 給出未經(jīng)授權(quán)或者用戶監(jiān)視警告信息 , 將會受到法律的保護(hù) . Banner /etc/some_file 系統(tǒng)安全 配置 假如你想要搭建一個(gè) Linux 服務(wù)器，并且希望可以長期維護(hù)的話，就需要考慮安全性能與速度等眾多因素。 （刷新 mysql 的緩存，讓以上配置立即生效） mysqlquit。 mysqldelete from user where user=39。網(wǎng)絡(luò)上流傳的一些攻擊要領(lǐng)中就有用它的，它也是很多新發(fā)覺的 SQL Injection 攻擊運(yùn)用 的手段！ localinfile = 0 關(guān)上遠(yuǎn)程連接，即 3306 端口。 StartServers：介于 5 和 10 之間 Apache 服務(wù)器使用 SSL 通常有兩種選擇，即主服務(wù)器和虛擬 web 站點(diǎn)。 Chroot 是內(nèi)核中一個(gè)系統(tǒng)調(diào)用，軟件可以通過調(diào)用庫函數(shù) chroot，來更改某個(gè)進(jìn)程所能看到的根目錄，比如， Apache 軟件安裝在 /usr/local/d 目錄下，以 root 用戶啟動Apache，這個(gè) root 權(quán)限的父進(jìn)程會派生多個(gè)以 nobody 權(quán)限運(yùn)行的子進(jìn)程。這些 CGI 程序即使存在一些漏洞，那么其危害也只是限于該 uid 所能夠訪問的文件，也就是說，這樣只能傷害用戶的文件而不會對整個(gè)系統(tǒng)帶來危害。如果這個(gè)用戶存在，則會提示更換密碼。 （ 2） .htaccess 文件的保護(hù) .htaccess 文件內(nèi)容如下： Authtype basic Authuserfile /usr/home/***/htdocs/.aame1 Authgroupfile /usr/home/***/htdocs/.abame2 Authname information limit get post require validuser /limit 其中第二三行的 ***可以改成個(gè)人的 ftp 登錄名。 .htaccess 的功能包括設(shè)置網(wǎng)頁密碼、設(shè)置發(fā)生錯(cuò)誤時(shí)出現(xiàn)的文件、改變首頁的文件名、禁止讀取文件名、重新導(dǎo)向文件、加上 MIME 類別、禁止；列出目錄下的文件等。使用 rotatelogs 實(shí)現(xiàn)日志輪循 Apache 提供一個(gè)不把日志直接寫入文件，而是通過管道發(fā)送給另外一個(gè)程序的能力。第二種是利用 Apache 自帶的日志輪循程序 cronolog。它包含一些指令，控制允許什么用戶訪問 Apache 目錄，應(yīng)該把 deny from all 設(shè)置成初始化指令，再使用 allow from 指令打開訪問權(quán)限。因?yàn)橹挥?root 用戶可以運(yùn)行 Apache， documentroot 應(yīng)該能夠被管理 web 站點(diǎn)內(nèi)容的用戶訪問和使用 Apache 服務(wù)器的 Apache 用戶和用戶組訪問。 Apache 安裝按成后，修改 配置文件，將“ servertokens full”改成“ servertokens prod” ；將“ Serversignature on”改成“ Serversignature off”，然后存盤退出。如果列舉目錄的話，會顯示域名信息（文件列表正文），去除 Apache 的版本號的方法是修改配置文件 。 ....................................................................................... 35 ........................................................................................................................ 36 ............................................................................................................................................. 37 DNS ............................................................................................................................................................... 38 修改 .................................................................................................................................................... 38 修改 ......................................................................................................................................................... 38 IPV6 .............................................................................................................................................................. 38 調(diào)整系統(tǒng)時(shí)區(qū) /時(shí)間的方法 ...................................................................................................................... 39 .............................................................................................................................................................. 40 定時(shí)清除 ........................................................................................................................................... 40 服務(wù)安全配置 Apache 服務(wù)器 安全配置 勤打補(bǔ)丁 在 上的 changelog 中都寫著 bug fix 、 security bug 的字樣。重啟 Apache 可以殺死這樣的病毒，但是對于防止將來的感染沒有什么積極的作用。 通過修改配置文件的 servertokens 參數(shù)，可以將 Apache 的相關(guān)信息隱藏起來。 documentroot 保存 web 站點(diǎn)內(nèi)容，包括 HTML 文件和圖片等。只有 root 用戶可以訪問日志目錄。 修改配置文件 ： Options –indexes followsymlinks Options 指令通知 Apache 禁止使用目錄索引。對于不配置虛擬主機(jī)的服務(wù)器來說，只要直接在 中查找 customlog 配置進(jìn)行修改即可。該程序是由運(yùn)行程序的服務(wù) crond 每天凌晨 4： 02 運(yùn)行的。 服務(wù)器的密碼保護(hù) .htaccess 文件是 Apache 服務(wù)器上一個(gè)配置文件。 （ 1） 建立 .htaccess 文件 首先在設(shè)置存取控制的目錄（如 htdocs）下建立一個(gè)文件，文件名可以自定。 （ 3） 增加新的許可用戶 進(jìn)入 htdocs 目錄，在命令行狀態(tài)下輸入 以下 命令 ： Echo .abame1 /var//bin/ abc 這樣就可以生成 .abame1 文件 Abc 代表要增加的用戶名。利用 .htaccess 文件 實(shí)現(xiàn)密碼保護(hù)，一般是很難被破解的。 讓 Apache 在“監(jiān)獄”中運(yùn)行 所謂監(jiān)獄，是指通過 chroot 機(jī)制來更改某個(gè)軟件運(yùn)行時(shí)所看到的根目錄的權(quán)限。 SSL 使用加密方法來保護(hù) web 服務(wù)器和瀏覽器之間的信息流。 Timeout 值：設(shè)置成 300 或更少 MaxClients 值： 256 或更少 Iptables 的 安全 配置 原則上只開放 80 端口，而且 22 端口只對管理員的 IP 開放，另外使服務(wù)器禁 PING 將 22 端口只對管理員 IP 開放： A RHFirewall1INPUT m state state NEW m tcp p tcp dport 22 s 管理員 IP j ACCEPT 將 80 端口對所有人開放： A RHFirewall1INPUT m state state NEW m tcp p tcp dport 80 j ACCEPT 防止同步包洪水 limit 1/s 限制 syn 并發(fā)數(shù)每秒 1 次，可以根據(jù)自己的需要修改 A FORWARD p tcp syn m limit limit 1/s j ACCEPT 防止各種端口掃描 A FORWARD p tcp tcpflags SYN,ACK,FIN,RST RST m limit limit 1/s j ACCEPT Ping 洪水攻擊（ Ping of Death） A FORWARD p icmp icmptype echorequest m limit limit 1/s j ACCEPT DDOS A INPUT p icmp m limit limit 3/s j LOG loglevel INFO logprefix ICMP packet IN: A INPUT p icmp m limit limit 6/m j ACCEPT A INPUT p icmp j DROP MYSQL 的安全配置 打開 /etc/ 文件，修改以下配置，如果沒有，可手動添加。 輸入以下命令： mysqluse mysql。39。 上傳、下載、刪除需要的設(shè)置： anon_world_readable_only=NOwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESlocal_root=/usr//kjcroot/yangliudi 只能上傳不能刪除的配置為： anon_world_readable_only=NOwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=NOlocal_root=/usr//kjcroot/yangliudi 只