关于对公司网站服务器安全加固的一些想法及思路:
一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
sshd:45.195.
修改/etc/hosts.deny
sshd:ALL
in.telnet:ALL
三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。
四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少
五、关闭无用的端口,同上。
六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null
修改系统重要执行命令的权限
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 700 /bin/ps
chmod -R 700 /etc/rc.d/init.d/*
chmod 700 /usr/bin/chmod
chmod 700 /usr/bin/chown
七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755
chmod 1755 目录名
chmod o+t 目录名
九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)
十:禁用系统用户权限
十一:修改默认命令记录历史(vim /etc/bashrc)
export HISTSIZE= #修改命令记录条数 export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S `whoami` " #记录操作时间、操作用户 source /etc/bashrc
十二:关闭Centos7的111端口
由于111端口是有系统1号进程服务systemd启动,其上面跑的是rpcbind服务,停止的方法不能用kill,具体方法如下
# 停止进程
$ systemctl stop rpcbind.socket
$ systemctl stop rpcbind
# 禁止随开机启动
$ systemctl disable rpcbind.socket
$ systemctl disable rpcbind