一.Centos 系統安全方面
1、用防火牆關閉不須要的任何端口,別人PING不到伺服器,威脅自然減少了一大半
2、更改SSH端口,最好改為10000以上,別人掃瞄到端口的機率也會下降
3、刪除系統臃腫多餘的賬號:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp 如果你不允許匿名FTP,就刪掉這個用戶帳號
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers
4、更改下列文件權限,使任何人沒有更改賬戶權限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
6、關閉FTP匿名用戶登入
二.PHP 安全篇
1、開啟安全模式(做為商業應用的伺服器不建議開啟)
#vi /usr/local/Zend/etc/php.ini (沒裝ZO時php.ini文件位置為:/etc/php.ini)
safe_mode = On
2、鎖定PHP程式應用目錄
#vi /etc/httpd/conf.d/virtualhost.conf
加入
php_admin_value open_basedir /home/*** (***為站點目錄)
3、千萬不要給不必要的目錄給寫權限,也就是777權限,根目錄保持為711權限,如果不能運行PHP請改為755
4、屏蔽PHP不安全的參數(webshell)
#vi /usr/local/Zend/etc/php.ini (沒裝ZO時php.ini文件位置為:/etc/php.ini)
disable_functions = system,exec,shell_exec,passthru,popen
以下為我的伺服器屏蔽參數:
disable_functions = passthru,exec,shell_exec,system,set_time_limit,ini_alter,dl,
pfsockopen,openlog,syslog,readlink,symlink,link,leak,fsockopen,popen,escapeshell
cmd,error_log
一般就用
disable_functions = dl,exec,passthru,proc_open,proc_close,shell_exec,system