安全配置小记

最近接触到要配置服务器安全，所有上网查了一堆关于服务器配置的内容，收益最大的还是Wooyun的两篇关于Nginx和Apache的安全配置的文章，这里综合自己的查找的内容作了一点总结，方便自己以后配置服务器。

下面就讲述下一些相关的安全配置。

规范和对象

针对的主要是以下一些配置：

1.Apache

2.Nginx

3.PHP

4.OpenSSL

因为每台机器的功能和需求不同，所有配置需根据实际情况进行修改，如果影响设备基本功能可以酌情考虑不修改配置。

配置方法

下面讲一些配置方法，有些不详细列举。

Apache

apache的一些配置主要是通过httpd.conf来实现的，通过修改httpd.conf文件来更改配置。

版本更新

查看apache版本号：httpd –v ，一般情况下，如果版本过低，那么理论上存在的漏洞也更多。

信息隐藏

服务的一些信息是可以给攻击者提供大量的参考信息，因此适当的隐藏这些内容，能帮助保护服务器的安全。

1.隐藏Apache信息

ServerTokens OS　 修改为：ServerTokens Prod （在出现错误页的时候不显示服务器操作系统的名称）

ServerSignature On 修改为：ServerSignature Off（不回显apache版本信息）

2.改变端口信息
配置httpd.conf修改修改监听端口来防止一些内部系统被扫描
这样可以防止一些直接扫描80端口的攻击者

Listen 12345（任意）

禁用项目

1.禁用Autoindex模块

Autoindex是Apache的模块，当目录中没有index文件的时候能自动生成和输出目录清单，类似于ls命令。该模块会产生目录遍历问题。

把"LoadModule autoindex_module modules/mod_autoindex.so"一行前面加上#禁止掉。

2.禁用目录浏览

将Options Indexes FollowSymLinks改为Options -Indexes FollowSymLinks

3.禁用权限

配置httpd.conf取消对上传目录的PHP执行权限

<Directory "/var/www/html/aaa（限制目录）">

<FilesMatch ".(php|php5)$">

Deny from all

</FilesMatch>
</Directory>

4.禁止访问文件夹
配置httpd.conf限制禁止访问的文件夹，例如后台目录

<Directory "/var/www/html/aaa（限制目录）">

Deny from all

</Directory>

5.禁止访问IP（可选）
配置httpd.conf限制一些特殊目录的特定ip访问，如内部接口等。

<Directory "/var/www/html/aaa">

Order Deny,Allow
Deny from all
Allow from 192.168.1.111
</Directory>

6.禁止文件访问类型（可选）
配置httpd.conf限制一些文件类型的访问，如txt的日志

<Files ~ ".txt$">

Order allow,deny Deny from all

</Files>'

7.禁止对.htaccess的支持

将 AllowOverride All 改为 AllowOverride None

PHP

隐藏信息

1.隐藏版本信息

修改/etc/php.ini expose_php 为off

2.隐藏错误信息

display_errors = Off //禁止爆出错误

3.隐藏启动错误信息

display_startup_errors =Off

禁用项目：

1.禁用高危函数（开启安全模式后无需配置）

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数

2.禁用远程内容获取

allow_url_fopen = Off //这个关闭，就没有办法取远程内容了

allow_url_include=Off

安全配置

1.安全模式

safe_mode = On //开启安全模式

safe_mode_gid = off //

2.控制可访问文件（可选）

open_basedir = /usr/www（网站文件路径）

3.关闭注册全局变量

register_globals = Off

4.防止SQL注入

magic_quotes_gpc = on

5.Http-only开启

session.cookie_httponly = 1

6.配置打印错误内容

error_reporting = E_ALL& ~E_NOTICE

OpenSSL：

版本更新：

及时更新OpenSSL版本避免旧版本中的高危漏洞的出现。

配置修改：

修改/etc/httpd/conf.d/ssl.conf配置：

1.将SSLProtocol 设置为SSLProtocol all -SSLv2 -SSLv3
2.添加SSLHonorCipherOrder on
3.将SSLCipherSuite 设置为：ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5

功能关闭：

在 /etc/sysconfig/httpd 关闭 SSLCompression

添加该语句export OPENSSL_NO_DEFAULT_ZLIB=1即可

Ngnix：

权限配置

1.修改网站目录运行账户
修改所有者为非php-fpm运行账户，可修改所有者为root。
命令：

chown -R root:root html/

2.修改nginx及php-fpm的运行账户及组为nobody

修改nginx.conf 中user 为nobody

修改Php-fpm.conf 中user与group 为nobody

3.修改nobody权限（可选）
取消nobody对所有目录的的读取权限，然后添加对网站目录的读取权限

1.chmod o-r –R /

2.chmod o+r –R html/

4.修改执行权限（可选）
取消nobody对于/bin/sh 的执行权限

chmod 776 /bin/sh(需要确认网站目录对于nobody的权限为可读可执行，对网站文件的权限为可读)

5.对于上传目录或者写入写文件的目录添加nobody的写入权限 （可选）

6.配置nginx.conf 对于上传目录无php的执行权限

7.配置nginx.conf禁止访问的文件夹，如后台，或者限制访问ip（可选）

8.配置nginx.conf禁止访问的文件类型，如一些txt日志文件（可选）