騰訊培訓(xùn)資料-Apache與Mysql安全配置

應(yīng)用平安配置Apache與Mysql平安配置 平安中心楊勇coolcyang 應(yīng)用平安配置ApacheMysqlApache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置版本&平安補(bǔ)丁更新平安公告下載發(fā)行版校驗Apache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置問題Apache有哪些敏感信息？泄露這些敏感信息會有哪些危害？您如何屏蔽這些信息？Apache平安配置敏感信息保護(hù)屏蔽bannerServerTokensProdServerSignatureOff屏幕默認(rèn)目錄/var/www/icons下文件/var/www/htdocs下默認(rèn)文件/var/www/manual下默認(rèn)文件/var/www/cgi-bin下默認(rèn)文件屏蔽枚舉帳戶UserDirpublic_html注釋掉該行#UserDirpublic_htmlApache平安配置敏感信息保護(hù)去掉索引功能Options–Indexes例子Apache虛擬主機(jī)的配置應(yīng)該在d.conf里第一個虛擬主機(jī)前面加上這段設(shè)置，當(dāng)用戶用IP訪問時候默認(rèn)跳轉(zhuǎn)到部門主頁中。<VirtualHostXXX.XXX.XXX.XXX>ServerNameDocumentRoot/usr/local/apache/htdocs<Directory"/usr/local/apache/htdocs">Options-Indexes-IncludesOrderdeny,allowDenyfromall</Directory></VirtualHost>Apache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置最小化平安原那么--模塊編譯例子$./configure\>--prefix=/usr/local/apache\>--enable-module=rewrite\>--enable-module=so\>--disable-module=imap\>--disable-module=userdir檢查靜態(tài)編譯DSO編譯方式Apache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置訪問控制Web根目錄設(shè)置DocumentRoot/應(yīng)為web首頁目錄啟動帳戶啟動Apache的帳號應(yīng)為nobodyUsernobodyGroupnogroupApache平安配置訪問控制設(shè)置合理的屬主cpd/usr/local/apache/binchown0/usr/local/apache/bin/dchgrp0/usr/local/apache/bin/dchmod511/usr/local/apache/bin/d設(shè)置合理的權(quán)限#chown-Rroot:root/usr/local/apache#find/usr/local/apache-typed|xargschmod755#find/usr/local/apache-typef|xargschmod644#chmod-Rgo-w/usr/local/apacheApache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置AntiDOS配置-配置連接參數(shù)HARD_SERVER_LIMITMinSpareServers與MaxSpareServersMaxClientsKeep-AliveStartServersTimeOut

MaxKeepAliveRequestsKeepAliveTimeoutApache平安配置調(diào)整參數(shù)建議參數(shù)HARD_SERVER_LIMIT設(shè)置Apache同時連接的最大進(jìn)程數(shù)。MinSpareServers最小空閑子進(jìn)程數(shù)。MaxSpareServers最大空閑子進(jìn)程數(shù)。MaxClient同時處理的最大用戶連接數(shù)。Keep-Alive關(guān)閉HTTP/1.0和HTTP/1.1的長連接特性。當(dāng)有靜態(tài)頁面時，開啟，但應(yīng)調(diào)小KeepAliveTimeOutStartServers啟動Apache服務(wù)后的啟動的進(jìn)程數(shù)。TimeOut客戶端和服務(wù)端連接超時時間。MaxKeepAliveRequests一個連接發(fā)起的請求數(shù)KeepAliveTimeout服務(wù)在關(guān)閉連接前，等待下一次請求的時間。Apache平安配置調(diào)整參數(shù)建議參數(shù)HARD_SERVER_LIMIT8193MinSpareServers100MaxSpareServers200MaxClient400Keep-AliveoffStartServers300TimeOut60MaxKeepAliveReques根據(jù)實際負(fù)載調(diào)整KeepAliveTimeout2Apache平安配置平安補(bǔ)丁更新敏感信息保護(hù)最小化平安原那么訪問控制防DOS配置日志維護(hù)和保護(hù)Apache平安配置日志維護(hù)和保護(hù)設(shè)置權(quán)限日志格式存放位置〔獨(dú)立分區(qū)〕CommonLogFormat(CLF)-username[10/Oct/2000:13:55:36-0700]"GET/apache_pb.gifHTTP/1.0"2002326組合記錄格式(CombinedLogFormat〕-username[10/Oct/2000:13:55:36-0700]"GET/apache_pb.gifHTTP/1.0"2002326"://""Mozilla/4.08[en](Win98;I;Nav)"Apache平安配置日志維護(hù)和保護(hù)日志回滾回卷日志mvaccess_logaccess_log.old

mverror_logerror_log.old

apachectlgraceful

sleep600

gzipaccess_log.olderror_log.old管道&rotatelogs回卷日志CustomLog"|/usr/local/apache/bin/rotatelogs/var/log/access_log86400"commonMySQL平安配置平安補(bǔ)丁更新敏感信息帳戶及數(shù)據(jù)庫角色默認(rèn)帳戶平安問題網(wǎng)絡(luò)連接Msql授權(quán)表如何進(jìn)行加固危險函數(shù)Mysql啟動運(yùn)行平安MySQL平安配置經(jīng)常關(guān)注平安更新Mysql官方網(wǎng)站不輕易更換〔eg：Mysql3->Mysql4〕Union帶來的漏洞MySQL平安配置平安補(bǔ)丁更新敏感信息帳戶及數(shù)據(jù)庫角色默認(rèn)帳戶平安問題網(wǎng)絡(luò)連接Msql授權(quán)表如何進(jìn)行加固危險函數(shù)Mysql啟動運(yùn)行平安MySQL平安配置泄露密碼bash_history.mysql_history兩個shell命令vs一個好習(xí)慣Shell>rm.bash_historyShell>rm.mysql_historyShell>ln–s/dev/null.bash_historyShell>ln–s/dev/null.mysql_historyMySQL平安配置平安補(bǔ)丁更新敏感信息帳戶及數(shù)據(jù)庫角色默認(rèn)帳戶平安問題網(wǎng)絡(luò)連接Msql授權(quán)表危險函數(shù)Mysql啟動運(yùn)行平安MySQL平安配置Root空口令匿名用戶MySQL平安配置帳戶和口令平安給mysql的root用戶設(shè)置口令mysql>usemysql;

mysql>updateusersetpassword=password('test')whereuser='root';

mysql>flushprivileges;刪除匿名用戶Mysql>deletefromuserwhereuser=''MySQL平安配置老版本權(quán)限的問題版本3.21.xx:755版本3.22.xx:770版本3.23.xx:700(推薦)推薦兩個命令Shell>chown–Rmysql.mysql/usr/local/mysql/varShell>chown–Rgo-rwx/usr/local/mysql/varMySQL平安配置網(wǎng)絡(luò)連接訪問控制防止外部連接啟動時Skip-networkingmyfbind-address=內(nèi)網(wǎng)ip限定連接IPmysql>grantselect,insert,update,delete,create,dropprivilegesontest.*totest1@'/'identifiedby'test';

NT主機(jī)默認(rèn)允許遠(yuǎn)程連接MySQL平安配置User表mysql>descuser;版本版本以前的授權(quán)機(jī)制不完善(建議升級)GRAND&REVOK危險的權(quán)限ShutdownProcessfileMySQL平安配置User表MySQL平安配置Db表MySQL平安配置Host表MySQL平安配置Table_prive表MySQL平安配置Columns_priv表MySQL平安配置授權(quán)表運(yùn)行機(jī)制效勞器檢查是否允許該用戶連接Hostuser用戶進(jìn)行的是否是授權(quán)操作權(quán)限生效條件*_privMySQL平安配置思考題如何給數(shù)據(jù)庫tencentdata設(shè)置如下權(quán)限用途：查詢數(shù)據(jù)用戶名：viewer密碼：T3nc3t！965.AWebCGI程序主機(jī)MySQL平安配置平安補(bǔ)丁更新敏感信息帳戶及數(shù)據(jù)庫角色默認(rèn)帳戶平安問題網(wǎng)絡(luò)連接Msql授權(quán)表危險函數(shù)Mysql啟動運(yùn)行平安MySQL平安配置危險的函數(shù)LOADDATAINFILE(只能讀全局可讀文件)SELECT…INTOOUTFILE(不能覆蓋文件)MySQL平安配置常見攻擊擁有FILE權(quán)限CREATETABLEetc_passwd(pwd_entryTEXT);LOADDATAINFILE"/etc/passwd"intoTABLEetc_passwd;SELECT*FROMetc_passwd;

MySQL平安配置讀取文件MySQL平安配置導(dǎo)出后門mysql>createtablea(cmdtext);mysql>insertintoavalues(“<?php");mysql>insertintoavalues(“phpinfo");mysql>insertintoavalues(“<php?>");mysql>select*fromaintooutfile“/usr/local/apache/cgi-bin/cmd.php";MyS