CentOs web服务器安全防范经验总结

CentOs web服务器安全防范经验总结,第1张

1.禁用ROOT权限登录。(重要)

2.安全组收缩不使用的端口,建议除443/80以及ssh登录等必要端口外全部关闭。

3.防火墙收缩不使用的端口,建议除443/80以及ssh登录端口外全部关闭。

4.更改ssh默认端口22

5.除登录USER,禁止其他用户su到root进程,并且ssh开启秘钥及密码双层验证登录。(重要)

6.限制除登录USER外的其他用户登录。

7.安装DenyHosts,防止ddos攻击。

8.禁止系统响应任何从外部/内部来的ping请求。

9.保持每天自动检测更新。

10.禁止除root之外的用户进程安装软件及服务,如有需要则root安装,chown给到用户。

11.定时给服务器做快照。

12.更改下列文件权限:

13.限制普通用户使用特殊命令,比如wget,curl等命令更改使用权限,一般的挖矿程序主要使用这几种命令操作。

1.nginx进程运行在最小权限的子用户中,禁止使用root用户启动nginx。(重要)

2.配置nginx.conf,防范常见漏洞:

1.禁止root权限启动apache服务!禁止root权限启动apache服务!禁止root权限启动apache服务!重要的事情说三遍!因为这个问题被搞了两次。

2.改掉默认端口。

3.清空webapps下除自己服务外的其他文件,删除用户管理文件,防止给木马留下后门。

4.限制apache启动进程su到root进程以及ssh登录,限制启动进程访问除/home/xx自身目录外的其他文件。

5.限制apache启动进程操作删除以及编辑文件,一般a+x即可。

1.关闭外网连接,与java/php服务使用内网连接。

2.在满足java/php服务的基础上,新建最小权限USER给到服务使用,禁止USER权限访问其他项目的库。

3.root密码不要与普通USER相同。

4.建议使用云库,云库具备实时备份,动态扩容,数据回退等功能,减少操作风险。

1.关闭外网连接,只允许内网交互,基本这个做了之后就已经稳了。

2.禁止root权限启动,运行在普通用户进程里。

3.更改默认端口。

4.添加登录密码。

以上是自己做的防范手段,不成熟见解,有一些方案待验证,不定时更新,欢迎大佬补充!

登录到你的服务器以root用户执行下面的命令,使用它你可以检查你的服务器是在DDOS攻击攻击与否:netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n该命令将显示已登录的是连接到服务器的最大数量的IP的列表。DDOS攻击变得更为复杂,因为攻击者在使用更少的连接,更多数量IP的攻击服务器的情况下,你得到的连接数量较少,即使你的服务器被攻击了。有一点很重要,你应该检查当前你的服务器活跃的连接信息,执行以下命令:netstat -n | grep :80 |wc –l上面的命令将显示所有打开你的服务器的活跃连接。您也可以使用如下命令:netstat -n | grep :80 | grep SYN |wc –l从第一个命令有效连接的结果会有所不同,但如果它显示连接超过500,那么将肯定有问题。如果第二个命令的结果是100或以上,那么服务器可能被同步攻击。一旦你获得了攻击你的服务器的IP列表,你可以很容易地阻止它。同构下面的命令来阻止IP或任何其他特定的IP:route add ipaddress reject一旦你在服务器上组织了一个特定IP的访问,你可以检查对它的阻止豆腐有效通过使用下面的命令:route -n |grep IPaddress您还可以通过使用下面的命令,用iptables封锁指定的IP。iptables -A INPUT 1 -s IPADRESS -j DROP/REJECTservice iptables restartservice iptables save上面的命令执行后,停止httpd连接,重启httpd服务使用下面的命令:killall -KILL httpdservice httpd startssl

天下数据--专业运营香港服务器、韩国服务器、美国服务器等等海外优质服务器!


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/60453.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-02-27
下一篇2023-02-27

发表评论

登录后才能评论

评论列表(0条)

    保存