(CentOSNginxPHPMysql)配置和WEB服務(wù)器安全配置方案

1、服務(wù)器的安全設(shè)置及其他主要內(nèi)容： 設(shè)置Ngnix可提供AVI、MP3等的下載 設(shè)置網(wǎng)站并發(fā)數(shù)限制 設(shè)置nginx程序限制的1M上傳問題 優(yōu)化PHP 優(yōu)化mysql mysql的安全設(shè)置 系統(tǒng)整體安全調(diào)整設(shè)置Ngnix可提供AVI、MP3等的下載# vi /usr/local/webserver/nginx/conf/mime.types 1. 編輯mime.types文件 將需要提供下載的格式前的文件類型修改為”application/octet-stream” # vi /usr/local/webserver/nginx/conf/mime.types.default 2. 編輯mime.

2、types.default文件 將需要提供下載的格式前的文件類型修改為”application/octet-stream”設(shè)置網(wǎng)站并發(fā)數(shù)限制 已在配置nginx.conf文件時加入并發(fā)數(shù)限制，具體參見官方維基百科(dule)”httplimit_zonemodule “部分設(shè)置nginx程序限制的1M上傳問題 已在配置nginx.conf文件時取消1M上傳限制，具體參見nginx.conf文件內(nèi)注釋優(yōu)化PHP 具體參見()”php 優(yōu)化設(shè)置”部分 此處僅設(shè)置部分必要內(nèi)容# vi /usr/local/webserver/php/etc/php.ini 編輯php.ini文件1.將“disabl

3、e_functions =” 修改為 “disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status” *這條建議在網(wǎng)站建成之后修改*該選項可以設(shè)置哪些PHP函數(shù)是禁止使用的，PHP中有一些函數(shù)的風(fēng)險性還是相當(dāng)大的，可以直接執(zhí)行一些系統(tǒng)級腳本命令，如果允許這些函數(shù)執(zhí)行，當(dāng)PHP程序出現(xiàn)漏洞時，損失是非常嚴(yán)重的！ 需注意：如果您的服務(wù)器中含有一些系統(tǒng)狀態(tài)檢測的PHP程序，則不要禁用shell_exec,

4、proc_open,proc_get_status等函數(shù)。2.將“upload_max_ = 2M” 修改為 “upload_max_ = 50M” 該選項設(shè)定PHP所能允許最大上傳文件大小，默認(rèn)為2MB。根據(jù)實際應(yīng)用需求，可以適當(dāng)增大該設(shè)置。優(yōu)化mysql 具體參見()”mysql 優(yōu)化及安全設(shè)置”部分 此處僅設(shè)置部分必要內(nèi)容# vi /usr/local/webserver/mysql/f 編輯f文件1.將“table_cache = 64 修改為 “table_cache = 512 指定表高速緩存的大小。每當(dāng)MySQL訪問一個表時，如果在表緩沖區(qū)中還有空間，該表就被打開并放入其中，這樣

5、可以更快地訪問表內(nèi)容。通過檢查峰值時間 的狀態(tài)值Open_tables和Opened_tables，可以決定是否需要增加table_cache的值。如果您發(fā)現(xiàn)open_tables等于 table_cache，并且opened_tables在不斷增長，那么您就需要增加table_cache的值了（上述狀態(tài)值可以使用show status like ‘Open_tables獲得）。注意，不能盲目地把table_cache設(shè)置成很大的值。如果設(shè)置得太高，可能會造成文件描述符不足，從而造成性能不穩(wěn)定或者連接失敗。2.將“sort_buffer_size = 512k” 修改為 “

6、sort_buffer_size = 2M” 每個線程排序所需的緩沖3.將“read_buffer_size = 128k” 修改為 “read_buffer_size = 2M” 當(dāng)一個查詢不斷地掃描某一個表，MySQL會為它分配一段內(nèi)存緩沖區(qū)。read_buffer_size變量控制這一緩沖區(qū)的大小。如果您認(rèn)為連續(xù)掃描進(jìn)行得太慢，可以通過增加該變量值以及內(nèi)存緩沖區(qū)大小提高其性能。4.將“read_rnd_buffer_size = 512k” 修改為 “read_rnd_buffer_size = 4M” 加速排序操作后的讀數(shù)據(jù)，提高讀分類行的速度。如果正對遠(yuǎn)遠(yuǎn)大于可用內(nèi)存的表執(zhí)行GROU

7、P BY或ORDER BY操作，應(yīng)增加read_rnd_buffer_size的值以加速排序操作后面的行讀取。仍然不明白這個選項的用處5.將“myisam_sort_buffer_size = 8M” 修改為 “myisam_sort_buffer_size = 32M” 用于REPAIR TABLE。不明白這個選項的用處，百度上找到的設(shè)置方向也是五花八門，有128M、64M、32M等，折中選一個。mysql的安全設(shè)置 具體參見()”Mysql 的安全設(shè)置”部分 此處僅設(shè)置部分必要內(nèi)容*iptables中設(shè)置*關(guān)閉遠(yuǎn)程連接，即3306端口。這是MySQL的默認(rèn)監(jiān)聽端口。由于此處MySQL只服務(wù)

8、于本地腳本，所以不需要遠(yuǎn)程連 接。盡管MySQL內(nèi)建的安全機制很嚴(yán)格，但監(jiān)聽一個TCP端口仍然是危險的行為，因為如果MySQL程序本身有問題，那么未授權(quán)的訪問完全可以繞過 MySQL的內(nèi)建安全機制。（您必須確定，您是否真的不需要遠(yuǎn)程連接mysql）系統(tǒng)整體安全調(diào)整1、*最后設(shè)置*RHEL或Red Had Enterprise Linux 5.X 的用戶要首先要打開SElinux，方法是修改/etc/selinux/config文件中的SELINUX=”" 為enforcing 。它可以保證您的系統(tǒng)不會非正常的崩潰。有些人認(rèn)為應(yīng)該關(guān)閉，我強烈不推薦，當(dāng)然只是將RHEL用來玩玩，不是用于

9、實際服務(wù)器則無所謂了。 2、*最后設(shè)置*啟用iptables 防火墻，對增加系統(tǒng)安全有許多好處。設(shè)置好防火墻的規(guī)則。 iptables要求： * 屏蔽所有端口 * 把SSH的缺省端口設(shè)置為56565 * 把56565、80、3306端口打開 * 把3306端口設(shè)置為只允許本機訪問Iptables規(guī)則： # vi /usr/local/webserver/fw.sh 將以下腳本命令粘貼到 fw.sh 文件中 #!/bin/bash # Stop iptables service /sbin/service iptables stop # Inital chains default policy

10、/sbin/iptables -F -t filter /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT # Enable Native Network Transfer /sbin/iptables -A INPUT -i lo -j ACCEPT # Accept Established Connections /sbin/iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT # ICMP Control /sbin/iptables -A INP

11、UT -p icmp -m limit limit 1/s limit-burst 10 -j ACCEPT # /sbin/iptables -A INPUT -p tcp dport 80 -j ACCEPT # SSH Service /sbin/iptables -A INPUT -p tcp dport 56565 -j ACCEPT # Anti DDOS /sbin/iptables -I INPUT -p tcp syn -m ttl ttl-eq 117 -j DROP /sbin/iptables -I INPUT -p tcp syn -m length length :

12、40 -j DROP # mysql 3306 Accept /sbin/iptables -A INPUT -p tcp -s dport 3306 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -s dport 3306 -j ACCEPT # Start iptables service /sbin/service iptables start保存后執(zhí)行以下命令 # chmod 755 /usr/local/webserver/fw.sh # echo /usr/local/webserver/fw.sh &g

13、t;> /etc/rc.d/rc.local # /usr/local/webserver/fw.sh3、執(zhí)行setup關(guān)閉那些不需要的服務(wù),少開一個服務(wù)，就少一個危險，已在< 系統(tǒng)安裝后的初始環(huán)境設(shè)置 >中設(shè)置 4、禁止Control-Alt-Delete鍵盤關(guān)閉命令 在”/etc/inittab”文件中注釋掉下面這行（使用#）： # vi /etc/inittab 將”ca:ctrlaltdel:/sbin/shutdown -t3 -r now” 修改為： “#ca:ctrlaltdel:/sbin/shutdown -t3 -r now” 為了使這項改動起作用，輸入下

14、面這個命令： # /sbin/init q 5、給”/etc/rc.d/init.d”下script文件設(shè)置權(quán)限 給執(zhí)行或關(guān)閉啟動時執(zhí)行的程序的script文件設(shè)置權(quán)限。 # chmod -R 700 /etc/rc.d/init.d/* 這表示只有root才允許讀、寫、執(zhí)行該目錄下的script文件。 6、使”/etc/services”文件免疫 使”/etc/services”文件免疫，防止未經(jīng)許可的刪除或添加服務(wù)： #chattr +i /etc/services 7.阻止您的系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請求。 既然沒有人能ping通您的機器并收到響應(yīng)，您可以大大增強您的站點的安

15、全性。您可以加下面的一行命令到/etc/rc.d/rc.local，以使每次啟動后自動運行。 # vi /etc/rc.d/rc.local echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 8、對您的系統(tǒng)上所有的用戶設(shè)置資源限制可以防止DoS類型攻擊（denial of service attacks） 如最大進(jìn)程數(shù)，內(nèi)存數(shù)量等。例如，對所有用戶的限制象下面這樣： # vi /etc/security/limits.conf 下面的代碼示例中，所有用戶每個會話都限制在 10 MB，并允許同時有四個登錄。第三行禁用了每個人的內(nèi)核轉(zhuǎn)儲。第四行

16、除去了用戶 bin 的所有限制。 * hard rss 10000 * hard maxlogins 4 * hard core 0 bin - 激活這些限制 # vi /etc/pam.d/login 底部添加一行： session required /lib/security/pam_limits.so。 9、用chattr命令給下面的文件加上不可更改屬性。 # chattr +i /etc/passwd # chattr +i /etc/shadow # chattr +i /etc/group # chattr +i /etc/gshadow *mysql數(shù)據(jù)庫密碼變更后再設(shè)置*注意執(zhí)

17、行這個操作后，以root身份都不能向系統(tǒng)增加用戶或者修改密碼了。 如果我們要增加用戶或者修改密碼的。應(yīng)該先用chattr -i /etc/passwd等命令解除不可寫設(shè)置，再進(jìn)行操作。 10、修改sshd的端口: 修改防火墻配置，開啟新的遠(yuǎn)程端口(56565) # vi /etc/sysconfig/iptables修改/etc/ssh/sshd_config: # vi /etc/ssh/sshd_config 將里面的 Port 改為 56565，(具體的端口隨意，不能和其他程序的端口沖突)。并注釋掉前面的#號使sshd服務(wù)生效: # pkill sshd # service sshd s

18、tart修改防火墻配置，關(guān)閉舊的遠(yuǎn)程端口(22) # vi /etc/sysconfig/iptables 注意:修改了防火墻配置文件后不得再使用setup修改防火墻設(shè)置，否則現(xiàn)在的設(shè)置會失效 11、 內(nèi)核參數(shù)調(diào)整 編輯sysctl.conf文件: # vi /etc/sysctl.conf 修改如下: net.ipv4.conf.default.accept_source_route=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_echo_ignore_all=1 net.ipv4.icmp_ignore_bogus_error

19、_responses=1 net.ipv4.ip_conntrack_max=65535 net.ipv4.tcp_syn_retries=1 net.ipv4.tcp_synack_retries=1 net.ipv4.route.gc_timeout=100 net.ipv4.tcp_max_syn_backlog=32768 net.ipv4.conf.default.rp_filter=0 net.ipv4.tcp_max_syn_backlog = 8192 net.ipv4.tcp_max_tw_buckets = 5000 kernel.shmmax = 134217728 查看

20、狀態(tài): # sysctl -p 12、經(jīng)常檢查系統(tǒng)日志。系統(tǒng)日志主要位于/var/log/目錄下。防患于未然。- 數(shù)據(jù)自動備份主要內(nèi)容： 安裝NCFTP軟件以支持自動上傳數(shù)據(jù)庫備份 數(shù)據(jù)庫每日備份 數(shù)據(jù)庫即時備份*按需操作* 日志備份安裝NCFTP軟件以支持自動上傳數(shù)據(jù)庫備份# cd /software # wget # tar zxvf nc # cd nc # ./configure prefix=/usr/local/webserver/ncftp # make && make install數(shù)據(jù)庫每日備份 每天4:00，將數(shù)據(jù)庫拷貝至/backup/day后進(jìn)行壓縮，然

21、后上傳至FTP服務(wù)器上，/backup/day/留有壓縮文件一天。# vi /usr/local/webserver/backupd.sh 編輯腳本/usr/local/webserver/backupd.sh寫入以下內(nèi)容：#!/bin/bash rm -rf /backup/day/* cd /backup/day/ cp -rf /usr/local/webserver/mysql/data/(此處為數(shù)據(jù)庫名稱)/ /backup/day/wp_db_$(date +%Y%m%d) sleep 10 echo “ready to tar in 10s .” tar zcvf hostnam

22、e_wpdata_of_$(date +%Y%m%d).tar.gz wp_db_$(date +%Y%m%d) sleep 10 echo “ready to upload in 10s .” /usr/local/webserver/nc -u backupd -p (FTP密碼) (FTP服務(wù)器地址) / /backup/day/hostname_wpdata_of_$(date +%Y%m%d).tar.gz sleep 30 echo “upload done .” rm -f hostname_wpdata_of_$(date +%Y%m%d).tar.gz sleep 5 rm

23、-rf wp_db_$(date +%Y%m%d) clear保存，并設(shè)置計劃任務(wù)：# crontab -e增加一行：00 4 * * * /bin/bash /usr/local/webserver/backupd.sh 每天凌晨4點將自動備份數(shù)據(jù)庫并上傳。數(shù)據(jù)庫即時備份*按需操作* 每隔6小時，將數(shù)據(jù)庫拷貝至/backup/hour目錄進(jìn)行備份，然后將壓縮文件上傳至FTP服務(wù)器上，/backup/hour/留有壓縮文件一天。# vi /usr/local/webserver/backuph.sh 編輯腳本/usr/local/webserver/backuph.sh寫入以下內(nèi)容:：#!/b

24、in/bash rm -rf /backup/hour/* cd /backup/hour/ cp -rf /usr/local/webserver/mysql/data/(數(shù)據(jù)庫名稱)/ /backup/hour/wp_db_$(date +%Y%m%d%H) sleep 10 echo “ready to tar in 10s .” tar zcvf hostname_wpdata_of_$(date +%Y%m%d%H).tar.gz wp_db_$(date +%Y%m%d%H) sleep 10 echo “ready to upload in 10s .” /usr/local/w

25、ebserver/nc -u backuph -p (FTP密碼) (FTP服務(wù)器地址) / /backup/hour/hostname_wpdata_of_$(date +%Y%m%d%H).tar.gz sleep 30 echo “upload done .” rm -f hostname_wpdata_of_$(date +%Y%m%d%H).tar.gz sleep 5 rm -rf wp_db_$(date +%Y%m%d%H) clear保存，并設(shè)置計劃任務(wù)：# crontab -e增加一行：0 */6 * * * /bin/bash /usr/local/webserver/backuph.sh 每6小時將自動備份數(shù)據(jù)庫并上傳一次。日志備份 每天02:00，將/logs/下前一天的日志，進(jìn)行壓縮，然后上傳至FTP服務(wù)器。# vi /usr/local/webserver/logs.sh 編輯腳本/usr/local/webserver/logs.sh寫入以下內(nèi)容:：#!/bin/bash cd /logs/ mkdir logs_of_$(date -d “yesterday” +”%Y%m%d”) cp $(date -d “yeste