linux系统安全配置手册

linux系统安全配置手册内容摘要：

eout 300 关闭稳固连接 KeepAlive Off MaxKeepAliveRequests:在稳固连接期间允许的最大请求数 MaxKeepAliveRequests 100 KeepAliveTimeout:在同一个连接上从同一台客户上接收请求的秒数 KeepAliveTimeout 5 prefork MPM StartServers:启动时服务器启动的进程数 MinSpareServers:保有的备用进程的最小数目 MaxSpareServers:保有的备用进程的最大数目 MaxClients:服务器允许启动的最大进程数 MaxRequestsPerChild:一个服务进程允许的最大请求数 MaxRequestPerChild 0 建立一个安全的目录结构 Apache 服务器包括以下四个目录 serverroot 保存配置文件（ conf 子目录）、二进制文件和其他服务器配置文件。 documentroot 保存 web 站点内容，包括 HTML 文件和图片等。 scripalias 保存 CGI 脚本文件。 customlog 和 errorlog 保存访问日志和错误日志。 建立设定这样一个目录，以上四个主要目录互相独立且不存在父子逻辑关系。 要求： serverroot 目录应该配置成为只能由 root 用户访问， documentroot 应该只能被管理 web 站点内容的用户访问和使用 Apache 服务器的 Apache 用户的 Apache 用户组访问。 Scripalias 目录只能由 CGI 开发人员和 Apache 用户访问。 只有 root 用户可以访问日志目录。 为 Apache 使用专门的用户和用户组 按照最小特权原则（是保证系统安全的最基本原则之一，它限制了使用者对系统及数据进行存取所需的最 小权限，这样，即保证了用户能完成所需的操作，同时也确保非法用户或者异常操作所造成的损失最小化），需要 Apache 分配一个合适的权限，某个目录的权限错误不会影响到其他目录。 必须保证 Apache 使用一个专门的用户和用户组，不要使用系统预置的账号，比如nobody 用户和 nogroup 用户组。 因为只有 root 用户可以运行 Apache， documentroot 应该能够被管理 web 站点内容的用户访问和使用 Apache 服务器的 Apache 用户和用户组访问。 所以，如果希望“ A”用户在 web 站点发布内容，并且可以以 d 身份运行 Apache服务器，通常可以这样： Groupadd webteam Usermod –G webteam A Chown R //html Chmod –R 2570 //htdocs 有 root 用户访问日志目录，这个目录的权限应设为： Chown –R root .root /etc/logs Chmod –R 700 /etc/htdcs 目录的访问策略 对于可以访问的 web 目录，要使用相对保守的途径进行访问，不要让用户查看任何目录索引列表。 （ 1） 禁止使用目录索引 Apache 服务器在接收到用户对一个目录的访问时，会查找 directoryindex 指令指定的目录索引文件，默认情况下该文件是。 如果该文件不存在，那么 Apache 会创建一个动态列表为用户显示该目录的内容。 通常这样的设置会暴露 web 站点结构，因此需要修改配置文件来禁止显示动态目录索引。 修改配置文件 ： Options –indexes followsymlinks Options 指令通知 Apache 禁止使用目录索引。 Followsymlinks 表示不允许使用符号链接。 （ 2） 禁止默认访问 一个好的安全策略是要禁止默认访问的存在，只对指定的目录开启访问权限，如果允许访问 /var//html 目录，则需要以下设置： Order deny,allow Allow from all （ 3） 禁止用户重载 为了禁止用户对目录配置文件（ .htaccess）进行重载（修改）可以这样设置： Allowoverride None Apache 服务访问控制方法 Apache 的 文件负责文件的访问设置，可以实现互联网域名和 IP 地址的访问控制。 它包含一些指令，控制允许什么用户访问 Apache 目录，应该把 deny from all 设置成初始化指令，再使用 allow from 指令打开访问权限。 如果允许 到 的主机访问，可以这样设置： Order deny， allow Deny from all Allow from pair 配置 Apache 服务器访问日志 （ 1） 相关配置文件说明 一个好的 Linux 管理员会密切关注服务器的日志系统，这些日志可以提供异常访问的线索。 Apache 可以记录所有的访问请求，同样，错误的请求也会记录。 Apache 配置文件中，需要关系和日志相关的配置文件有两个： $ customLog //logs/access_log mon 记录对 web 站点的每个进入请求 $ errorLog //logs/error_log mon 记录产生错误状态的请求 Customlog用来指示 Apache的访问日志存放的位置和格式。 Errorlog用来指示 Apache的错误日志存放的位置。 对于不配置虚拟主机的服务器来说，只要直接在 中查找 customlog 配置进行修改即可。 而对于具有多个虚拟服务器的 web 服务器来说，需要分离各个虚拟服务器的访问日志，以便对各个虚拟服务器进行访问统计和分析，因此，需要在虚拟服务器配置中进行独立的日志配置。 （ 2） Web 服务器日志轮循 Web 服务器日志轮循比较好的方式有三种，第一种是利用 Linux 系统自身的日志文件轮循机制 logrotate。 第二种是利用 Apache 自带的日志轮循程序 cronolog。 对于大型web 服务器来说，往往使用负载均衡技术提高 web 站点的 服务能力，这样后台有多个服务器提供 web 服务，大大方便了服务器的分布规划和扩展。 如果有多个服务器，需要对日志进行合并，统一进行统计分析。 因此为了保证统计的精确性，需要严格按照每天的时段来自动生成日志。 （ 3） 使用 logrotate 实现日志轮循 Linux 系统自带的 logrotate 是专门对各种日志文件（ syslog、 mail）进行轮循的程序。 该程序是由运行程序的服务 crond 每天凌晨 4： 02 运行的。 在 /etc/ 目录下可以看到 logrotate 文件： !/bin/sh/ $ user/sbin/logrotate/etc/ 每天凌晨 crond 都会启动 /etc/ 目录下的 logrotate 脚本来进行日志轮循。 使用 rotatelogs 实现日志轮循 Apache 提供一个不把日志直接写入文件，而是通过管道发送给另外一个程序的能力。 这样就大大加强了对日志文件的处理能力。 这个通过管道得到的程序可以是任意程序，如日志分析器、压缩日志器等。 要实现将 日志写到管道的操作，只需要将配置文件中日志文件部分的内容替换成“ |程序名”即可，例如： pressed logs $ custmonlog “|/user/bin/gzip –c /var/log/” mon 这样就可以使用 Apache 服务自带的轮循工具来对日志文件进行轮循。 Rotatelogs 基本是按照时间或者大小来控制日志的。 服务器的密码保护 .htaccess 文件是 Apache 服务器上一个配置文件。 它是一个文本文件，可以使用任何文本编辑器来进行编写。 .htaccess 文件提供了针对目录改变配置的方法，即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件（ .htaccess），以作用于此目录及其所有子目录。 .htaccess 的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名、禁止读取文件名、重新导向文件、加上 MIME 类别、禁止；列出目录下的文件等。 注意， .htaccess 文件是一个完整的文件名。 而不是 **.htaccess 或者其他格式。 另外，上传 .htaccess 文件时，必须使用 ASCII 文件格式，并使用 chmod 命令改变权限为644（ RW_R_R_）每一个放置 .htaccess 文件的目录和其子目录都会被 .htaccess 影响。 例如，在 /abc/目录下放置了一个 .htaccess 文件，那么 /abc/和 /abc/def 内所有的文件都会被它所影响，这一点是很重要的。 （ 1） 建立 .htaccess 文件 首先在设置存取控制的目录（如 htdocs）下建立一个文件，文件名可以自定。 一般服务器都会设置成 .htpasswd，该文件是不能由 HTTP 读取的。 .htpasswd 文件 中的每一行代表一个使用者，使用者的名字及经过加密的密码以冒号：分隔。 （ 2） .htaccess 文件的保护 .htaccess 文件内容如下： Authtype basic Authuserfile /usr/home/***/htdocs/.aame1 Authgroupfile /usr/home/***/htdocs/.abame2 Authname information limit get post require validuser /limit 其中第二三行的 ***可以改成个人的 ftp 登录名。 .abame1 和 .abame2 可以是任意文件名，如 .htpasswd，但不可以是 .htaccess。 将 .htaccess 上传到要进行木马保护的目录中， .htaccess 文件最后的“ require”告诉服务器哪些用户可以进入。 Requre validuser是指只要是 .htpassword 中的任何一个都可以进入。 也可以指定名单上某人或者某几个人可以通过。 （ 3） 增加新的许可用户 进入 htdocs 目录，在命令行状态下输入 以下 命令 ： Echo .abame1 /var//bin/ abc 这样就可以生成 .abame1 文件 Abc 代表要增加的用户名。 输入此命令后，系统会提示输入此用户的密码，这样该用户名就生效了。 以后要是再增加用户，运行第二行的命令时换一个用户名即可。 如果这个用户存在，则会提示更换密码。 （ 4） 建立允许访问的组 组的设置方法是建立一个名为 .htgroup 的文本文件，内容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 并在 .htaccess 文件中加上“ authgroupfile/absolute/path/.htgroup”以 ASCII 模式上传所有文件后，该目录下的文件都会被保护起来。 （ 5） 禁止读取文件 如果将某些内容如密码，存在一个文件中，那么别人只要知道该文件相对应的位置，就可以一目了然。 这样很不安全，其实只要在 .htaccess 文件中加入以下几行即可： file Order allow ,deny Deny from all /files 总之，通过 .htaccess 文件来保护网站更为安全和方便。 因为它不像利用程序来实现密码保护时，有可能通过猜测的方法来获得密码。 利用 .htaccess 文件 实现密码保护，一般是很难被破解的。 减少 CGI 和 SSI 风险 CGI 脚本的漏洞已经成为 web 服务器的首要安全隐患，通常是程序编写 CGI 脚本中产生了许多漏洞。 控制 CGI 脚本的漏洞除了在编写时要注意输入数据的合法性检查、对系统调用的谨慎使用等因素外，首先使用 CGI 脚本所有者的 uid 是怎样的。 这些 CGI 程序即使存在一些漏洞，那么其危害也只是限于该 uid 所能够访问的文件，也就是说，这样只能伤害用户的文件而不会对整个系统带来危害。 通过安装使用 suEXEC 的应用程序，可以为 Apache 服务提供 CGI 程序的控制支持，可以把 suEXEC 看做一个包装器，在 Apache 接到对 CGI 程序的调用请求后，它将这个嗲用请求交给 suEXEC 来负责完成具体的调用，并且其从 suEXEC 获得返回结果。 suEXEC 能解决一些安全问题，但也会降低服务性能，因为它只能运行在 CGI 版本的PHP 上，而 CGI 版本比模块版本运行速度慢。 原因是 模块版本使用了线程，而 CGI 使用的进程。 因此，建议在安全性能要求比较高的时候使用 suEXEC，为此要以牺牲速度为代价， 要减少 SSI 脚本风险，如果使用 EXEC 等 SSI 命令运行外部程序，也会存在类似 CGI脚本程序的危险，除了内部调试程序时都应当可以使用 option 命令来禁止。