[教程] 實用的安全配置指引 2013-06-15更新

zhanjun

一：系統(tǒng)安裝1當(dāng)然大多數(shù)系統(tǒng)安裝都是由空間商安裝，所以接收VPS或者服務(wù)器之后，第一時間我們是修改root密碼，root密碼：必須超過8位，并且有符號和字母數(shù)字。

2精簡服務(wù)：關(guān)掉以下服務(wù)項（除非你有特殊需要）：kudzu cpuspeed isdn portmap nfslock rpcidmapd rpcgssd bluetooth netfs pcscd apmd hidd autofs hplip cups gpm xfs avahi-daemon yum-updatesd firstboot haldaemon


3所有服務(wù)的啟動腳本應(yīng)為root權(quán)限，并且為755屬性


4安裝好WDCP之后（請到官方ahbydz.com上面發(fā)布安裝包安裝！），第一時間修改WDCP后臺密碼，數(shù)據(jù)庫密碼！


5在WDCP里面修改 WDCP端口默認(rèn)是8080（建議修改）


6web服務(wù)器只開放80與22端口（WSCP登錄端口22可以修改（建議修改））


7數(shù)據(jù)庫服務(wù)器只開放3306與22端口


8除80,443和22,udp161(snmp),5666(nrpe)外,不允許其他服務(wù)LISTEN外網(wǎng)IP，161和5666端口必須限制IP


9為什么現(xiàn)在才說FTP呢？如無必要，禁止開啟FTP服務(wù)，F(xiàn)TP密碼傳輸為明文，容易被監(jiān)聽。所以我一般創(chuàng)建整站的時候都不創(chuàng)建FTP
二：站點使用安全常識
1禁止長期放置phpinfo等探針，phpmyadmin等管理程序，需要的時候放置，用完后移走到非站點目錄。


2禁止在在運行的站點內(nèi)放置測試程序，備份目錄如bak，old文件夾一律移到非站點目錄。


3禁止放置install文件夾，以及upgrade、xconvert 相關(guān)升級和轉(zhuǎn)換文件。


4禁止目錄下出現(xiàn)編輯器編輯后自動生成的備份文件，比如使用vim后留下的.swp ，Editplus留下的.bak文件。


5打包站點得來的zip，tar.gz，tar文件下載之后一律不能放到站點目錄下，請放其它目錄


6請使用正版程序，正版模板，正版插件


7網(wǎng)站管理員密碼請加強！


三：PHP.ini設(shè)置
1 safe_mode官方默認(rèn)是OFF，所以一般建議大家還是safe_mode = On(注意如果你是discuz程序請關(guān)閉，因為開啟會有問題)
2 disable_functions = 官方默認(rèn)沒有禁止任何PHP函數(shù)，下面請大家把最危險的7個PHP功能函數(shù)禁用
    改成為disable_functions = system,exec,passthru,shell_exec,popen,proc_open,assert
    即可有效的防止別人通過PHP程序入侵服務(wù)器.
    修改之后,要重啟IIS或者是apache才能生效的.

    修改過后請重啟WEB

下載 (30.23 KB)

2013-6-15 11:07

為什么要修改了禁止函數(shù)了？
如果你感興趣的話，不妨試試把以下代碼另存為123.php

1. <?php
   
2. $cmd = 'net user admin99 admin99 /add';
   
3. adduser($cmd);
   
4. //$cmd = 'net localgroup administrators admin99 /add';
   
5. //adduser($cmd);
   
6. function adduser($cmd) {
   
7. if (function_exists('exec')) {
   
8.   @exec($cmd, $res);
   
9.   $res = join("\n", $res);
   
10. } elseif (function_exists('shell_exec')) {
    
11.   $res = @shell_exec($cmd);
    
12. } elseif (function_exists('system')) {
    
13.   @ob_start();
    
14.   @system($cmd);
    
15.   $res = @ob_get_contents();
    
16.   @ob_end_clean();
    
17. } elseif (function_exists('passthru')) {
    
18.   @ob_start();
    
19.   @passthru($cmd);
    
20.   $res = @ob_get_contents();
    
21.   @ob_end_clean();
    
22. } elseif (@is_resource($f = @popen($cmd, "r"))) {
    
23.   die("$cmd");
    
24.   $res = '';
    
25.   while (!@feof($f)) {
    
26.    $res .= @fread($f, 1024);
    
27.   }
    
28.   @pclose($f);
    
29. }else{
    
30.   die("你的服務(wù)器是安全的!");
    
31. }
    
32. die($res);
    
33. }
    
34. ?>

復(fù)制代碼

admin

很好

chengs2035

不錯不錯。不過樓主要是能做個詳細(xì)的例子就好了，我還是菜鳥，有些還是不懂。。

marquis

lz 有沒有注意過一些服務(wù)器漏洞？