《打造Linux下超级安全的LAMP服务器》由会员分享,可在线阅读,更多相关《打造Linux下超级安全的LAMP服务器(19页珍藏版)》请在金锄头文库上搜索。
1、打造Liinuxx下超级级安全的的LAMMP服务务器编前:本本文全面面细致的的介绍了了在Liinuxx下加固固apaachee+phhp+mmysqql的方方法,通通过仔细细阅读本本文,你你可以快快速掌握握安全配配置appachhe,pphp,和myysqll的方方方面面,还还有chhrooot这个个前沿而而强悍的的技术,依依靠这些些知识,完完全可以以让你的的WWWW服务器器在层出出不穷的的SQLL注射(SQLL Innjecctioon)和和CSSS跨站脚脚本攻击击(Crrosss Siite Scrriptt)中屹屹立不倒倒 从从动网的的几个漏漏洞到独独孤剑客客的网站站被黑,脚脚本攻击击闹
2、的沸沸沸扬扬扬,可见见它在网网络攻击击中终于于显现出出他的重重要性了了。由于于程序开开发人员员无意或或有意的的不小心心,用PPerll、PHHP、AASP等等编写的的脚本就就会出现现这样或或那样的的错误,轻轻则导致致泄露路路径,重重则导致致整个服服务器被被攻陷甚甚至蔓延延到整个个网络。难难道我们们就非得得把所用用的脚本本读N遍遍,认真真的分析析?我相相信不是是人人都都有这等等功力的的,就算算有这样样的功力力也不会会枉费那那么多的的时间和和精力。 你你可能会会问:“我既想想用网上上免费的的程序,又又不想因因此受到到重创。难难道就没没有一个个两全的的办法?” 针对wwinddowss主机,我我们可
3、以以使用IIISLLockkdowwn,SSecuureIIIS之之类的 针对*nixx主机给给大家提提出两个个方案,一一个就是是给appachhe装上上modd-seecurrityy模块,另另外一个个办法就就是把LLAMPP放置在在一个cchrooot jaiil环境境中。当当然,最最强的还还是把两两个方案案结合在在一起咯咯:) 下下面,让让我们一一起来分分享这两两个方案案前提:我我们只需需要有普普通的llinuux操作作经验,包包括vii的使用用等首先,我我们先弄弄清楚几几个概念念什么是DDebiian:一个完完全自由由的Liinuxx操作系系统,他他最令我我心仪的的就是他他的appt包
4、管管理工具具,让你你安装或或者升级级软件无无忧!如如果你是是CERRNETT用户的的话,推推荐你到到电子科科大htttp:/或或者我的的网站hhttpp:/n升级,CCHINNANEET用户户可以在在htttp:/miirroor.ggennnkboone.orgg升级什么是LLAMPP:就是是Linnux Apaachee MyySQLL Phhp的缩缩写,几几乎是最最强的架架站组合合什么是cchrooot:是chhangge rroott的缩写写,就是是把一个个进程守守护程序序限制在在某个特特定的rroott环境中中执行,这这个被cchrooot了了的程序序几乎接接近无法法访问任任何超出出
5、了这个个rooot的任任何文件件或空间间,这个个rooot目录录(也就就是下面面我们说说到的jjaill)包含含了执行行进程守守护程序序所需要要的所有有文件,在在你正确确配置之之后,绝绝大多数数的入侵侵者是不不可能跳跳出jaail而而接触到到外面的的文件的的。这样样我们就就可以最最大限度度的限制制入侵者者保护自自己。本文主要要涉及到到的软件件makeejaiil htttp:/wwww.fflocc.neet/mmakeejaiil/是一个自自动把建建立jaail所所需要的的程序放放到jaail内内的软件件,使用用pytthonn编写,他有ddebiian和和opeenbssd的版版本Zend
6、d Peerfoormaancee Suuit htttp:/wwww.zzendd.coomZendd公司开开发的一一套给PPHP加加速的东东西,包包括一个个代码优优化器(opttimiizerr)和一一个加速速器(aacceelerratoor),还有ccachhe功能能,很好好使的,有有了他,pphp程程序跑起起来就跟跟飞一样样!可以以申请330天试试用版本本的,如如果你觉觉得好用用的话就就买下来来吧:)mod-seccuriity htttp:/wwww.mmodssecuuritty.oorg/他是appachhe的一一个模块块,他有有请求过过滤,日日志审计计等功能能,可以以防止SS
7、QL Injjecttionn,跨站站脚本攻攻击,很很不错的的一个模模块OK,动动手我们假设设我们手手头上有有一个装装好的ddebiian wooody,并并且已经经正确设设置了了了aptt源二话不说说,先升升级到ddebiian sarrge,也就是是tesstinng版本本,我觉觉得这个个版本还还是不错错的,因因为他的的软件比比较新,而而且有ssecuuritty支持持,最主主要这个个版本的的软件列列表包含含makkejaail这这个软件件首先suu到rooot升升级系统统并安装装apaachee,phhp,mmysqql,ggd更新appt源,我我在教育育网,所所以使用用中科大大的app
8、t源速速度很快快roootddebiian /aapt-gett uppdatte (如图uupdaate.jpgg)再更新所所有软件件包roootddebiian /aapt-gett diist-upggradde(如如图uppgraade.jpgg)roootddebiian /aapt-gett innstaall apaachee phhp4 phpp4-ggd2 phpp4-mmysqql mmysqql-sservver myssql-cliientt并且把eexteensiion=gd.so和和exttenssionn=myysqll.soo加到pphp.inii中你的系统统就
9、已经经装上了了apaachee-1.3.227,pphp-4.11.2,myssql-4.00.133这样一个个基本的的LAMMP就起起来了,简简单吧。再加一个个系统用用户,这这个用户户是我们们等会cchrooot要要用的roootddebiian /aadduuserr -homme /chrroott/appachhe -shhelll /ddev/nulll -noo-crreatte-hhomee -sysstemm -grooup chrrapaax接着我们们编辑hhttppd.cconff文件并并做一些些修改,删删除多余余的appachhe模块块并激活活phpp模块roootdde
10、biian /vvi /etcc/appachhe/hhttppd.cconff注释掉除除了mood_aacceess,modd_auuth,modd_diir,mmod_logg_coonfiig,mmod_mimme,mmod_aliias之之外的所所有模块块去掉注释释LoaadMoodulle pphp44_moodulle /usrr/liib/aapacche/1.33/liibphhp4.so以以支持PPHP (如图图apaachee_mood.jjpg )设置SeerveerAddminn faatbzzuu.eddu.ccn设置SeerveerNaame n把下面的OOptii
11、onss Inndexxes Inccluddes FolllowwSymmLinnks MulltiVViewws的IIndeexess去掉,这样避避免被别别人索引引目录把用户和和组改成成chrrapaaxUserr chhrappaxGrouup cchraapaxx在下面加加上inndexx.phhp如下下 DirrecttoryyInddex inddex.phpp inndexx.httml inddex.htmm inndexx.shhtmll inndexx.cggi默认使用用中文字字符集AddDDefaaulttChaarseet ggb23312 加出错重重定向,这这样当出出
12、现下面面的错误误的时候候,用户户就会被被重顶向向到到你你指定的的页面ErroorDoocummentt 4004 hhttpp:/n/inndexx.phhp ErroorDoocummentt 4002 hhttpp:/n/inndexx.phhpErroorDoocummentt 4003 hhttpp:/n/inndexx.phhpErroorDoocummentt 5000 hhttpp:/n/inndexx.phhp把siggnatturee关掉ServverSSignnatuure Offf如果siignaaturre打开开的话,当有人人访问到到一个被被禁止或或者不存存在的页页面的
13、话话,会出出现一些些错误信信息的这样的信信息,不不好,去去掉他 (如图图4033.jppg)如果不需需要cggi支持持的话,删删除ScriiptAAliaas /cgii-biin/ /ussr/llib/cgii-biin/ AlllowOOverrridde NNonee Opttionns EExeccCGII -MMulttiViiewss Ordder alllow,denny Alllow froom aall这行的注注释去掉掉,因为为我们需需要PHHP支持持把AdddTyppe aappllicaatioon/xx-htttpdd-phhp .phpp最后把多多余的AAliaas
14、,DDireectoory,Loccatiion都都去掉,保保存退出出OK,aapacche算算是配置置完毕,我我比较喜喜欢干净净的配置置文件,下下面的命命令可以以去掉hhttppd.cconff里#打打头的行行roootddebiian /mmv hhttppd.cconff htttpdd.coonf.bakkroootddebiian /ggrepp -vv # hhttppd.cconff.baak htttpdd.coonf到此为止止,appachhe配置置文件编编辑完毕毕接着我们们开始加加固phhp,我我们打开开phpp.inniroootddebiian /vvi /etcc/phhp4/apaachee/phhp.iini首先打开开安全模模式,打打开他的的好处就就是PHHP文件件只能访访问所有有者和PPHP文文件所有有着一样样的文件件,即使使在chhrooot环境境下也无无法访问问jaiil中属属主不一一样的文文件,类类似于pphp sheell这这样的后后门就没没用武之之地了哦哦,phhpshhelll是很流流行的pphp后后门,他他可以执执行系统统命令,就就象他的的名字一一样,和和sheell很很接近(如图pphpsshelll
