一、账号设置 以专门的用户帐号和用户组运行 Apache 服务。 根据需要,为 Apache 服务创建用户及用户组。如果没有设置用户和组,则新建用户,并在 Apache 配置文件中进行指定。 创建 Apache 用户组。 groupadd apache 创建 Apache 用户并加入 Apache 用户组。 useradd apache –g apache 将下面两行设置参数加入 Apache 配置文件 httpd.conf 中: User apache Group apache 检查 httpd.conf 配置文件中是否允许使用非专用账户(如 root 用户)运行 Apache 服务。 默认设置一般即符合要求。Linux 系统中默认使用 apache 或者 nobody 用户,Unix 系统默认使用 daemon 用户。 二、授权设置 严格控制 Apache 主目录的访问权限,非超级用户不能修改该目录中的内容。 Apache 的 主目录对应于 …
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/, 如下图所示: 黑客通过猜解到的口令登录 Tomcat 管理后台后,可以上传 Webshell 脚本导致服务器被入侵。 安全加固方案 由于此类型漏洞可能对业务系统造成比较严重的危害,建议您针对 Tomcat 管理后台进行以下安全加固配置。 1. 网络访问控制 如果您的业务不需要使用 Tomcat 管理后台管理业务代码,建议您使用安全组防火墙功能对管理后台 URL 地址进行拦截,或直接将 Tomcat 部署目录中 webapps 文件夹中的 manager、host-manager 文件夹全部删除,并注释 Tomcat 目录中 conf 文件夹中的 tomcat-users.xml 文件中的所有代码。 如果您的业务系统确实需要使用 Tomcat 管理后台进行业务代码的发布和管理,建议为 Tomcat 管理后台配置强口令,并修改默认 admin 用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合。 2. 开启 Tomcat 的访问日志 修改 conf/server.xml 文件,将下列代码取消注释: <Valve className=”org.apache.catalina.valves.AccessLogValve” …
1.CentOS5.8 x86_64位 采用最小化安装,系统经过了基本优化篇 2.apache版本:httpd-2.2.29 3.源码包存放位置:/home/oldboy/tools 4.源码包编译安装位置:/application/ 一.设置日志轮循 1.下载并安装cronolog [root@ser200 tools]# cd /home/oldboy/tools [root@ser200 tools]# wget http://cronolog.org/download/cronolog-1.6.2.tar.gz [root@ser200 tools]# tar zxf cronolog-1.6.2.tar.gz [root@ser200 tools]# cd cronolog-1.6.2 [root@ser200 cronolog-1.6.2]# ./configure [root@ser200 cronolog-1.6.2]# make&&make install 2.配置apache使用cronolog [root@ser200 cronolog-1.6.2]# vi /application/apache/conf/extra/httpd-vhosts.conf CustomLog “|/usr/local/sbin/cronolog /app/logs/access_%Y%m%d.log” combined ErrorLog “|/usr/local/sbin/cronolog /app/logs/error_%Y%m%d.log” 3.更多日志格式参考: 按天轮询(生产环境常见用法,推荐使用): CustomLog “|/usr/local/sbin/cronolog /app/logs/access_www_%Y%m%d.log” combined 按小时轮询(生产环境较常见用法): CustomLog “|/usr/local/sbin/cronolog /app/logs /access_www_ …
Dynamic IP Restrictions WindowsThis is a Microsoft Supported Download | Works With: IIS 7, IIS 7.5 Install this extensionor view additional downloads Overview The Dynamic IP Restrictions Extension for IIS provides IT Professionals and Hosters a configurable module that helps mitigate or block Denial of Service Attacks or cracking of passwords through Brute-force by temporarily blocking Internet Protocol (IP) addresses …
一、nginx.conf配置说明 主模块常用指令 daemon 含义:设置是否以守护进程模式运行 语法:daemon on|off 缺省:on 示例:daemon off 注意:生产环境(production mode)中不要使用daemon指令,这些选项仅 用于开发测试(development mode)。 debug_points 含义:断点调试 语法:debug_points [stop|abort] 缺省:none 示例:debug_points stop; 注意:在Nginx内有一些assert断言,这些断言允许Nginx,配合调试器中断程序运行、 停止或创建core文件。 master_process 含义:设置是否启用主进程 语法:master_process on|off 缺省:on 示例:master_process off; 注意: 不要在生产环境(production mode)中使用master_process指令, 这些选项仅用于开发测试(development mode)。 error_log 含义:指定错误日志文件 语法:error_log file [debug|info|notice|warn|error|crit] 缺省:${prefix}/logs/error.log 示例: error_log /data/nginx/logs/error.log debug 注意: 该命令并非只有在测试(或称为开发)模式下才可以使用,而是在编译时添加了–with-debug参数时, 则可以使用error_log指令的额外参数,即: error_log file [debug_core|debug_alloc|debug_mutex|debug_event| debug_http|debug_imap]; include 含义:指定所要包含的Nginx配置文件 语法:include <file|*> …
一、Nginx反向代理 反向代理(Reverse Proxy)方式是指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器;并将从服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。 通常的代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。当一个代理服务器能够代理外部网络上的主机,访问内部网络时,这种代理服务的方式称为反向代理服务。 一个通过HttpProxy模块实现反向代理的简单配置: server { listen 8888; server_name 134.32.28.134; location / { proxy_pass http://134.32.28.134:8090; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } 此配置实现在ie中输入http://134.32.28.134:8888即会调转到134.32.28.134:8090中 Upstream模块配置实现: upstream appserver { server 134.32.28.134:8090; } server { listen 8888; server_name 134.32.28.134; location / { proxy_pass http://appserver; } } HttpRewrite模块配置实现 server { listen 8888; server_name 134.32.28.134; rewrite …
一、关闭SELinux 安全增强型Linux(SELinux)的是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。 但是,SELinux带来的附加安全性和使用复杂性上不成比例,性价比不高 1 2 sed -i /SELINUX=enforcing/SELINUX=disabled/ /etc/selinux/config /usr/sbin/sestatus -v #查看状态 二、通过分区挂载允许最少特权 服务器上 nginx 目录单独分区。例如,新建一个分区/dev/sda5(第一逻辑分区),并且挂载在/nginx。确保 /nginx是以noexec, nodev and nosetuid的权限挂载 以下是我的/etc/fstab的挂载/nginx的信息:LABEL=/nginx /nginx ext3 defaults,nosuid,noexec,nodev 1 2 注意:你需要使用fdisk和mkfs.ext3命令创建一个新分区。 三、配置/etc/sysctl.conf强化Linux安全 你可以通过编辑/etc/sysctl.conf来控制和配置Linux内核、网络设置 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 …