云服务器安全方案
软件选型
Web服务器选择:
Apache+PHP(稳定,多元化,占用资源较多)
Nginx+PHP-FPM(高性能,高并发)
数据库服务器选择:
Mysql5.6
反代服务器选择:
Haproxy(算法多,完善,专一)
Nginx
安全防护
服务器安全防护:
因为是公网IP,所以要锁定ssh访问,创建ssh的登录密码
Root密码复杂性要求,需要时使用sudo命令授权
Iptables控制
ssh拒绝root登录
限制shelll命令记录条目
在/etc/skel/.bash_logout文件中加入rm –f$HOME/.bash_history
修改ssh监听端口
有必要的话可以禁ping
chattr命令给用户密码文件、配置文件和重要文件加上不可更改属性
十、 chmod+chown控制目录文件的权限
web服务器安全:
关闭服务器标记,server_tokens off
设置自定义缓存限制缓冲区溢出***的可能性
设置timeout防止DOS***(看需要)
限制用户连接数防止DOS***(看需要)
配置nginx的HTTPS支持
为网页根目录提供单独的存储空间,对这些文件的权限进行统一管理
加固/etc/sysctl.conf
net.ipv4.icmp_ignore_bogus_error_responses= 1# 开启SYN洪水***保护
net.ipv4.tcp_syncookies= 1# 开启并记录欺骗,源路由和重定向包
fs.file-max= 65535
net.ipv4.ip_local_port_range= 2000 65000
编译安装,自定义模块
Iptables控制
十、 限制访问IP
Localhost/{
Deny IP
Allow IP
…
}
十一、 Nginx漏洞避免
动态内容误判:***者可以通过一张包含php后门代码的图片获取webshell;预防方式:在配置文件中田间 if ( $fascgi_script_name ~\..*\/.*php ) { return 403 }
错误配置:错误的网站根目录配置,导致目录遍历漏洞
数据库服务器安全:
启动前初始化配置
mysql_secure_installation
禁用或限制远程访问
skip_name_resovle=ON
设置root用户的口令并改变其登录名
SET PASSWORD FOR ‘root’@’localhsot’ = ’PASSWORD‘
可以改变root的名字,也可以授权一个新用户管理,禁用root
Update user set user=”newroot”where user=”root”
提高本地安全性,防止mysql对本地文件的存取
Set-varable=local-infile=0
移除匿名账户和test测试库
数据文件目录的权限为,mysql用户和mysql组
移除和禁用.mysql_history文件,export mysql_histfile=/de/vnull
Ln –s /dev/null.mysql_history
保持稳定版本,5.5目前最稳定,但是5.6集成了很多新功能,补丁发布比较快
十、 启用日志,保存错误日志,访问日志等
十一、 有良好的数据库备份策略,温备、热备、冷备等。
温备:mysqldump,支持所有存储引擎
热备:lvm2的快照,几乎热备,借助于文件系统管理工具
冷备:cp,tar等命令
代理服务器安全:
系统内核参数设置
超时时长
最大连接数
外部监控,日志分析