一.系统加固
1.系统分区
安装路径 /var/ /home /usr /boot独立分区
2.软件安装
只安装必须的软件,不安装X-windows系统
3.设置用户密码强度
/etc/login.defs
4.删除不必要的用户和组
如果不启用匿名ftp则ftp账号可以删除
5.禁用root不需要的远程控制台
/etc/securetty
6.禁用不需要的服务
以具体情况而定
7.隐藏系统标题
/etc/rc.d/rc.local
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
8.uname程序改名,防止通过uname获取系统信息
9.iptables防火墙,只允许必要的服务访问通过.
10.忽略所有的ping请求
echo "1" > /proc/sys/net/ipv4/icmp_echo_igore_all
11.升级系统和软件到最新的版本
二.加固apache
1.隐藏apache版本信息:
ServerTokens ProductOnly
2.只在必要的ip和端口上监听客户的请求:
Listen 192.168.10.1:80
Listen 192.168.1.156:81
3.确保Apache以其自身的用户账号和组运行:
User apache
Group apache
4.关闭目录索引浏览:
注销掉IndexOption
在目录属性中取消Options的index 和 FollowSymlinks属性,并设置位none
5.清除配置文件中的所有注释内容,只保留必要配置
6.只启用必要的运行模块
LoadModule access_module modules/mod_access.so
LoadModule include_module modules/mod_include.so
LoadModule mime_module modules/mod_mime.so
LoadModule dir_module modules/mod_dir.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule cache_module modules/mod_cache.so
LoadModule alias_module modules/mod_alias.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule status_module modules/mod_status.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule dav_module modules/mod_dav.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
7.删除默认的起始测试页
/var/www/manual
8.关闭CGI执行程序
Options 取消ExecCGI
9.关闭对.htaccess文件的支持
AllowOverride None
10.修改Document目录为非默认目录
11.删除icon中的一些默认图标
李荣权
1.系统分区
安装路径 /var/ /home /usr /boot独立分区
2.软件安装
只安装必须的软件,不安装X-windows系统
3.设置用户密码强度
/etc/login.defs
4.删除不必要的用户和组
如果不启用匿名ftp则ftp账号可以删除
5.禁用root不需要的远程控制台
/etc/securetty
6.禁用不需要的服务
以具体情况而定
7.隐藏系统标题
/etc/rc.d/rc.local
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
8.uname程序改名,防止通过uname获取系统信息
9.iptables防火墙,只允许必要的服务访问通过.
10.忽略所有的ping请求
echo "1" > /proc/sys/net/ipv4/icmp_echo_igore_all
11.升级系统和软件到最新的版本
二.加固apache
1.隐藏apache版本信息:
ServerTokens ProductOnly
2.只在必要的ip和端口上监听客户的请求:
Listen 192.168.10.1:80
Listen 192.168.1.156:81
3.确保Apache以其自身的用户账号和组运行:
User apache
Group apache
4.关闭目录索引浏览:
注销掉IndexOption
在目录属性中取消Options的index 和 FollowSymlinks属性,并设置位none
5.清除配置文件中的所有注释内容,只保留必要配置
6.只启用必要的运行模块
LoadModule access_module modules/mod_access.so
LoadModule include_module modules/mod_include.so
LoadModule mime_module modules/mod_mime.so
LoadModule dir_module modules/mod_dir.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule cache_module modules/mod_cache.so
LoadModule alias_module modules/mod_alias.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule status_module modules/mod_status.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule dav_module modules/mod_dav.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
7.删除默认的起始测试页
/var/www/manual
8.关闭CGI执行程序
Options 取消ExecCGI
9.关闭对.htaccess文件的支持
AllowOverride None
10.修改Document目录为非默认目录
11.删除icon中的一些默认图标
李荣权