加入一行:
-ARH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
其中3306为需要对外开放的服务端口。
继而重启IPTABLES服务即可。
#service iptablesrestart
案例2:如果需要开放特定的服务,如需要开放mysql服务给特定的一台主机,如192.168.100.5使用,则可以:
#vi/etc/sysconfig/iptables
加入一行:
-ARH-Firewall-1-INPUT -m state --state NEW -m tcp -s 192.168.100.5 -p tcp --dport3306 -j ACCEPT
其中3306为需要对外开放的服务端口。
继而重启IPTABLES服务即可。
#service iptablesrestart
2 Linux网页文件权限调整。
可根据实际情况,调整需要修改的文件权限。如,需要把 /var/www目录下所有文件的权限全部改为 644,则可以输入
find /var/www-type f |xargs chmod 644
需要把所有 777 权限的目录调整为700,则可以输入:
find /var/www-type d -perm 777 |xargs chmod 700
需要把所有 php 文件的权限调整为600,则可以输入:
find . -name"*.php" -type f |xargs chmod 600
3 安全加固和检查
A 去除目录的浏览、包含等指令
方法:用文本编辑器打开Apache配置文件httpd.conf,搜索是否存在Indexes或者+Indexes字样,如有应去除,改为-Indexes,如下:
<Directory/usr/local/apache/htdocs/>
Order allow,deny
Allow from all
Options -Includes -Indexs Multiviews
0X02 POST方法
1 POST 方法
用文本编辑器打开Apache配置文件httpd.conf,增加以下配置
<Directory /usr/local/apache/htdocs/> deny from all Order allow,deny Allow from all Options –Includes –Indexs –Multiviews |
限制不能使用TRACE、TRACK、OPTIONS等方法,方法:用文本编辑器打开Apache配置文件httpd.conf,增加以下配置
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
|
如果有多个虚拟主机,需要在每个主机都要加入以上配置。
2 运行用户和组
方法:用文本编辑器检查httpd.conf,查看User和Group指令对应的用户名和组别名称。这个用户在/etc/passwd列表里,应该为/sbin/nologin 的运行环境,而不应该有类似这样的运行环境:/bin/bash
#如在httpd.conf里用户和组别为
User nobody
Group nobody
#在/etc/passwd里为
nobody❌99:99:Nobody:/:/sbin/nologin
3 服务器帐号
如Linux,设置web服务器
passwd -lwebserv
usemod -s /bin/nolo httpuser
#编辑httpd.conf配置文件,把以下几个指令如下设置:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!