Apache Mysql PHPP安全服务配置手册大全.doc

Apache、MySQL、PHP 安全配置大全 Apache服务器安全配置如何配置一个安全的Apache服务器. 勤打补丁. 建立一个安全的目录结构. 为Apache使用专门的用户和用户组.Web目录的访问策略. 禁止使用目录索引. 禁止默认访问. 禁止用户重载.配置Apache服务器访问日志. 相关配置文件说明. Web服务器日志轮循.Apache服务器的密码保护.减少CGI和SSI风险.使用SSL加固Apache.Apache服务器防范DOS攻击.Apache服务器其他安全配置. mod_rewrite 重写 URL . Speling 模块去除 url 大小写 . 安装配置 mod_security . Mysql服务器安全配置修改 root 用户口令，删除空口令 .删除默认数据库和数据库用户 .改变默认 mysql 管理员帐号 .关于密码的管理 .使用独立用户运行 msyql .禁止远程连接数据库 .限制连接用户的数量 .用户目录权限限制 .命令历史记录保护 .禁止 MySQL 对本地文件存取 .MySQL 服务器权限控制 .使用 chroot 方式来控制 MySQL 的运行目录 .关闭对无关的 Web 程序访问的支持 .数据库备份策略 .Mysqld 安全相关启动选项 .information_schema 安全 . PHP服务器安全配置加固打开 php 的安全模式 .安全模式下执行程序主目录 .安全模式下包含文件 .控制 php 脚本能访问的目录 .关闭危险函数 .关闭 PHP 版本信息在 http 头中的泄漏 .关闭注册全局变量 .打开 magic_quotes_gpc 来防止 SQL 注入 .错误信息控制 .错误日志 .关闭远程文件打开 .Php.ini 包含补丁文件 .Apache安全篇 如何配置一个安全的Apache服务器勤打补丁在上的changelog中都写着bug fix、security bug的字样。所以，linux管理员要经常关注相关网站的缺陷，及时升级系统或者打补丁。使用最高的和最新的安全版本对于ujiaqianApache服务器的安全是至关重要的。将你的openssl升级大牌0.9.6e或更高版本，伪造的迷药将起不了作用，也不能渗透到系统中。一些反病毒程序能够发现并杀死ssl病毒，但是蠕虫病毒可能产生变体，从而逃脱反病毒软件的追捕。重启Apache可以杀死这样的病毒，但是对于防止将来的感染没有什么几级的作用。隐藏和伪装Apache的版本默认情况下，系统会把Apache版本模块都显示出来（在HTTP返回头中）。如果列举目录的话，会显示域名信息（文件列表正文），去除Apache的版本号的方法是修改配置文件http.conf 。Serversignature offServertokens prod然后重启服务器在 apache 的源码包中找到 ap_release.h 将#define AP_SERVER_BASEPRODUCT Apache修改为#define AP_SERVER_BASEPRODUCT Microsoft-IIS/6.0 ”os/unix 下的 os.h 文件#define PLATFORM Unix修改为#define PLATFORM Win32 “建立一个安全的目录结构Apache服务器包括以下四个目录 Serverroot保存配置文件（conf子目录）、二进制文件和其他服务器配置文件。 Documentroot保存web站点内容，包括HTML文件爱你和图片等。 Scripalias保存CGI脚本文件。 Customlog 和errorlog 保存访问日志和错误日志建立这样一个目录，以上四个主要目录互相独立且不存在父子逻辑关系。要求：serverroot目录应该配置成为只能由root用户访问，documentroot应该只能被管理web站点内容的用户访问和使用Apache服务器的Apache用户的Apache用户组访问。Scripalias目录中只能由CGI开发人员和Apache用户访问。只有root用户可以访问日志目录。为Apache建立专门的用户和组 按照最小特权原则（是保证系统安全的最基本原则之一，它限制了使用者对系统及数据进行存取所需的最小权限，这样，即保证了用户能完成所需的操作，同时也确保非法用户或者异常操作所造成的损失最小化），需要Apache分配一个合适的权限，某个目录的权限错误不会影响到其他目录。 必须保证Apache使用一个专门的用户和用户组，不要使用系统预置的账号，比如nobody用户和nogroup用户组。因为只有root用户可以运行Apache，documentroot应该能够被管理web站点内容的用户访问和使用Apache服务器的Apache用户和用户组访问。所以，如果希望“A”用户在web站点发布内容，并且可以以httpd身份运行Apache服务器，通常可以这样： Groupadd webteam Usermod -G webteam A Chown -R http.webteam /www/html Chmod -R 2570 /www/htdocs 只有root用户访问日志目录，这个目录的权限应设为： Chown -R root.root /etc/logs Chmod -R 700 /etc/htdcs Web目录的访问策略禁止使用目录索引 Apache服务器在接收到用户对一个目录的访问时，会查找directoryindex指令的目录索引文件，默认情况下该文件时index.html。如果该文件不存在，那么Apache会创建一个动态列表为用户显示该目录的内容。通常这样的设置回暴漏web站点结构，因此需要修改配置文件来禁止显示动态目录结构。 修改配置文件httpd.conf: Options -indexes followsymlinks Options 指令通知Apache禁止使用目录索引。Followsymlinks表示允许使用符号链接禁止默认访问 一个号的安全策略是要禁止默认访问的存在，值对指定的目录开启访问权限，如果允许访问/var/www/html目录，则需要以下设置： Order deny,allow Allow from all禁止用户重载 为了禁止用户对目录配置文件（.htaccess）进行重载（修改）可以这样设置： Allowoverride None Apache 服务访问控制方法 Apache的access.conf文件负责文件的访问设置，可以实现互联网域名和IP地址的访问控制。它包含一些指令，控制允许什么用户访问Apache目录，应该把deny from all设置成初始化指令，再试用allow from指令打开访问权限。如果允许到54的主机访问，可以这样设置：Order deny, allowDeny from allAllow from pair / 配置Apache服务器访问日志相关配置文件说明 一个号的linux管理员会密切关注服务器的日志系统，这些日志可以提供异常访问的线索。Apache可以记录所有的访问请求，同样，错误的请求也回记录。Apache配置文件中，需要关系和日志相关的配置文件有两个： $customlog /www/logs/access_log common #记录对web站点的每个进入请求# $errorlog /www/logs/error_log common #记录产生错误状态的请求 Customlog 用来指示Apache的访问日志存放的位置和格式。Errorlog用来指示Apache的错误日志存放的位置。对于不配置虚拟主机的服务器来说，只要直接在httpd.conf中查找customlog配置进行修改即可。而对于具有多个虚拟服务器的web服务器来说，需要分离各个虚拟服务器的访问日志，以便对各个虚拟服务器进行访问统计和分析，因此，需要在虚拟服务器配置中进行独立的日志配置。Web服务器日志轮循Web服务器日志轮循比较好的方式有三种，第一种是利用linux系统滋生的日志文件轮循机制logrotate。第二种是利用Apache自带的日志轮循程序cronolog。对于大型web服务器来说，往往使用负载均衡技术提高web站点的服务能力，这样后台有多个服务器提供web服务器，大大方便了服务器的分布规划和扩展。如果多个服务器，需要对日志进行合并，统一进行统计分析。因此为了保证统计的精确性，需要严格按照每天的时段来自动生成日志。（1）使用logrotate实现日志轮循 Linux系统自带的logrotate是专门对各种日志文件（syslog、mail）进行轮循的程序。搞程序是由运行程序的服务crond每天凌晨4:02运行的。在/etc/cron.daily目录下可以看到logrotate文件：# !/bin/sh/$ user/sbin/logrotate/etc/logrotate.conf每天凌晨crond都会启动/etc/cron.daily目录下的logrotate脚本来进行日志轮循。（2） 使用rotatelogs实现日志轮训 Apache提供一个不把日志直接写入文件，而是通过管道发送给另外一个程序的能力。这样就大大加强了对日志文件的处理能力。这个通过管道得到的程序可以是任意程序，如日志分析器、压缩日志器等。要实现将日志写到管道的操作，只需要将配置文件中日志文件部分的内容替换成“|程序名”即可，例如： #compressed logs $custmonlog |/user/bin/gzip -c /var/log/access_log.gz common 这样就可以使用Apache服务自导的轮循工具来对日志文件进行轮循。Rotatelogs基本是按照时间或者大小来控制日志的。 Apache服务器的密码保护 .htaccess文件时Apache服务器上一个配置文件。它是一个文本文件，可以使用任何文本编辑器来进行编写。.htaccess文件爱你提供了针对目录改变配置的方法，即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件（.htaccess），以作用于此目录及其所有子目录。.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名、禁止读取文件名、重新导向文件、加上MIME类别、禁止；列出目录下的文件等。注意，.htaccess文件是一个完整的文件名。而不是*.htaccess或者其他格式。另外，上传.htaccess文件时，必须使用ASCII文件格式，并使用chmod命令改变权限为644（RW_R_R_)每一个放置.htaccess文件，那么/abc/和/abc/def内所有的文件都会被它所影响，这一点很重要。 1. 建立.htaccess文件 首先在设置存取控制的目录（如htdocs）下建立一个文件，文件名可以自定。一般服务器都会设置成.htpasswd吗，该文件是不能有HTTP读取的。.htpasswd文件中的每一行代表一个使用者，使用者的名字及经过加密的密码以冒号：分隔。 2. .htaccess文件的保护 .htaccess文件内容如下： Authtype basic Authuserfile /usr/home/*/htdocs/.acname1 Authgroupfile /usr/home/*/htdocs/.abcname2 Authname information Require valid_user 其中第二三行的*可以改成个人的ftp登录名。.abcname1和.abcname2可以是任意文件名，如.htpasswd，但不可以是.htaccess。将.htaccess上传到要进行木马保护的目录中，.htaccess文件中的任何一个都可以进入。也可以指定名单上某人或者某几个人可以通过。 3. 增加性的许可用户 进入htdocs目录，在命令行状态下输入以下命令： Echo.abcname1 /var/www/bin/htpasswd.abcname2 abc 这样就可以生成.abcname1文件 Abc代表要增加的用户名。输入此命令后，系统会提示输入此用户的密码，这样该用户名就生效了以后要是再增加用户，运行第二行的命令时换一个用户名即可：如果这个用户存在，则会提示更换密码。 4. 建立云系访问的组 组的设置方法是建立一个名为.htgroup的文本文件，内容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 并在.htaccess文件中加上“authgroupfile/absolute/path/.htgroup”以ASCII模式上传所有文件后，该目录下的文件都会被保护起来。 5. 禁止读取文件 如果将某些内容如密码，存在一个文件中，那么别人只要知道该文件相对应的位置，就可以一目了然。这样很不安全，其实只要在.htaccess文件中加入以下几行即可： Order allow ,deny Deny from all 总之，通过.htaccess文件来保护网站更为安全和方便。因为它不像利用程序来实现密码保护时，有可能通过猜测的方法来获得密码。利用.htaccess文件实现密码的保护，一般是很难被破解的. 减少CGI和SSI风险CGI脚本的漏洞已经成为web服务器的首要安全隐患，通常是程序编写CGI脚本中产生了许多漏洞。控制CGI脚本的漏洞除了在编写时要注意输入数据的合法性检查、对系统调用的谨慎使用等因素外，首先使用CGI脚本所有者的uid是怎样的。这些CGI程序即使存在一些漏洞，那么其危害也只是限于该uid所能够访问的文件，也就是说，这样只能伤害用户的文件而不会对整个系统带来危害。通过安全使用suEXEC的应用程序，可以为Apache服务提供CGI程序的控制支持，可以把suEXEC看做一个包装器，在Apache接到对CGI程序的调用请求后，它将这个调用请求交给suEXEC获得返回结果。suEXEC能解决一些安全问题，但也回减低服务器性能，因为它只能运行在CGI版本的PHP伤，而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程，而CGI使用的进程。因此，建议在安全性能要求比较高的时候使用suEXEC，为此要以牺牲速度为代价，要减少SSI脚本风险，如果使用EXEC等SSI命令运行外部程序，也回存在类似CGI脚本程序的危险，除了内部调试程序时都应当可以使用iption命令来禁止其实用。让Apache在“监狱”中运行所谓监狱，是指通过chroot机制来更改某个软件运行时所看到的根目录的权限。即将某软件运行限制在制定目录中，保证该软件只能对该目录或其子目录文件有所动作，从而保证整个服务器的安全。这样即使被破坏或侵入，随时也不会很大。Chroot是内核中一个系统调用，软件可以通过掉用户函数chroot，来更改某个进程所能看到的根目录，比如 Apache软件安装在/usr/local/httpd目录下，以root用户启动Apache，这个root权限的父进程会派生多个以nobody权限运行的子进程。这样，父进程监听80端口的TCP数据流，然后根据内部算法将这个请求分配给某个子进程来处理，这样Apache子进程可以/usr/local、/usr 、/tmp甚至整个系统。因为Apache进程所处的根目录仍为整个文件系统的根，如果能使用chroot将Apache限制在/usr/local/httpd，那么，Apache所能够存取的文件都是/usr/local/httpd下的文件，创建chroot监狱的作用就是将进程权限限制在文件系统目录树种的某一子树。 使用SSL加固Apache使用具有SSL功能的web服务器，可以提高网站的安全性能，SSL协议工作在linux的TCP/IP协议和HTTP协议之间。使用加密方法来保护web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传输的数据流，而且还能提供双方的身份验证，这样就可以安全的在线购物而不必担心别人窃取信用卡的信息。这种特性使得SSL适用于哪些交换重要信息的地方。Apache服务器使用SSL通常由两种选择，即主服务器和虚拟web站点。如果使用linux在3.04.0时，那么可以直接使用命令rpm -qa|grep mod_ssl检查，如果没有安装，那么可以以root身份登录，输入命令：System-config-packages利用GUI套件管理工具的网页服务器，点击“详细信息”，然后勾选mod_ssl，提示放入适当的光盘，便可以完成安装工作。之后，就可以以https开头的URL来访问安全的页面了。 Apache服务器减少DOS攻击 可同通过编辑httpd.conf文件的具体参数来防范拒绝服务攻击，或减少伤害程度。l Timeout值：设成300或更少l KeepAlive：设成KeepAlive ONl KeepAlive Timeout值：设为15或更少l StartServers:介于5和10之间l MinSpareServers值：介于5和10l MaxKeepAliveRequests的值：不等于0l MaxSpareServers值：为10或以下l MaxClients值：256或更少 Apache服务器其它安全配置 mod_rewrite 重写 URL请求的引擎 重写规则的作用范围 1 使用在 Apache 主配置文件 httpd.conf 中。 2 使用在 httpd.conf 里定义的配置中。 3 使用在基本目录的跨越配置文件 .htaccess 中。 url 重定向 80 到 443 端口 RewriteEngine on RewriteCond %SERVER_PORT !443$ RewriteRule /?(.*)$ /$1 L,R 含义是这样的：为了让用户访问传统的 http:/ 转到 https:/ 上来，用了一下 rewrite 规 则 : 第一句：启动 rewrite 引擎 第二句： rewrite 的条件是访问的服务器端口不是 443 端口 第三句：这是正则表达式， 是开头， $ 是结束， /? 表示有没有 / 都可以（ 0 或 1 个）， (.*) 是任何数量的任意字符 整句的意思是讲：启动 rewrite 模块，将所有访问非 443 端口的请求， url 地址内容不变，将 http:/ 变成 http s:/Speling 模块去除 url大小写 确认 speling 模块存在并已加载 启动 speling CheckSpelling . AllowOverride None Order allow,deny Allow from all 安装 mod_security: 下载： /download/modsecurity-1.8.7.tar.gz /jorge/mod_security/mod_security.conf 安装：下载到 /opt/soft 目录下。 # tar zxvf modsecurity-1.8.7.tar.gz # cd modsecurity-1.8.7 #cd apache2 # /opt/apache/bin/ apxs -cia mod_security.c #copy mod_security.conf /opt/apache/conf 配置： 在 /opt/apache/conf /httpd.conf 中添加下面一行： Include conf/mod_secur ity.conf /opt/apache/bin/apachectl stop /opt/apache/bin/apachectl startssl 更详细的 mod_security 的配置也有Mysql安全篇修改root用户口令，删除空口令缺省安装的 MySQL 的 root 用户是空密码的，为了安全起见，必须修改为强密码，所谓的强密码，至少8位，由字母、数字和符号组成的不规律密码。使用 MySQL 自带的命令 mysaladmin 修改 root 密码，同时也可以登陆数据库，修改数据库 mysql 下的 user 表的字段内容，修改方法如下所示：# /usr/local/mysql/bin/mysqladmin -u root password “ upassword ” / 使用 mysqladmin#mysql use mysql;#mysql update user set password=password(upassword) where user=root;#mysql flush privileges; / 强制刷新内存授权表，否则用的还是在内存缓冲的口令删除默认数据库和数据库用户一般情况下， MySQL 数据库安装在本地，并且也只需要本地的 php 脚本对 mysql 进行读取，所以很多用户不需要，尤其是默认安装的用户。 MySQL 初始化后会自动生成空用户和 test 库，进行安装的测试，这会对数据库的安全构成威胁，有必要全部删除，最后的状态只保留单个 root 即可，当然以后根据需要增加用户和数据库。#mysql show databases;#mysql drop database test; / 删除数据库 test#use mysql;#delete from db; / 删除存放数据库的表信息，因为还没有数据库信息。#mysql delete from user where not (user=root) ; / 删除初始非 root 的用户#mysql delete from user where user=root and password=; / 删除空密码的 root ，尽量重复操作Query OK, 2 rows affected (0.00 sec)#mysql flush privileges; / 强制刷新内存授权表。关于密码管理密码是数据库安全管理的一个很重要因素，不要将纯文本密码保存到数据库中。如果你的计算机有安全危险，入侵者可以获得所有的密码并使用它们。相反，应使用 MD5() 、 SHA1() 或单向哈希函数。也不要从 词典中选择密码，有专门的程序可以破解它们，请选用至少八位，由字母、数字和符号组成的强密码。在存取密码时，使用 mysql 的内置函数 password （）的 sql 语句，对密码进行加密后存储。例如以下方式在 users表中加入新用户。#mysql insert into users values (1,password(1234),test);使用独立用户运行msql绝对不要作为使用 root 用户运行 MySQL 服务器。这样做非常危险，因为任何具有 FILE 权限的用户能够用root 创建文件 ( 例如， root/.bashrc) 。 mysqld 拒绝使用 root 运行，除非使用 -user=root 选项明显指定。应该用普通非特权用户运行 mysqld 。正如前面的安装过程一样，为数据库建立独立的 linux 中的 mysql 账户，该账户用来只用于管理和运行 MySQL 。要想用其它 Unix 用户启动 mysqld ，增加 user 选项指定 /etc/f 选项文件或服务器数据目录的 f 选项文件中的 mysqld 组的用户名。#vi /etc/fmy sqldUser=mysql该命令使服务器用指定的用户来启动，无论你手动启动或通过 mysqld_safe 或 mysql.server 启动，都能确保使用 mysql 的身份。也可以在启动数据库是，加上 user 参数。# /usr/local/mysql/bin/mysqld_safe -user=mysql &作为其它 linux 用户而不用 root 运行 mysqld ，你不需要更改 user 表中的 root 用户名，因为 MySQL 账户的用户名与 linux 账户的用户名无关。确保 mysqld 运行时，只使用对数据库目录具有读或写权限的 linux 用 户来运行。禁止远程连接数据库在命令行 netstat -ant 下看到，默认的 3306 端口是打开的，此时打开了 mysqld 的网络监听，允许用户远程通过帐号密码连接数本地据库，默认情况是允许远程连接数据的。为了禁止该功能，启动 skip-networking ，不监听 sql 的任何 TCP/IP 的连接，切断远程访问的权利，保证安全性。假如需要远程管理数据库，可通过安装 PhpMyadmin 来实现。假如确实需要远程连接数据库，至少修改默认的监听端口，同时添加防火墙规则，只允许可信任的网络的 mysql 监听端口的数据通过。# vi /etc/my.cf将 #skip-networking 注释去掉。# /usr/local/mysql/bin/mysqladmin -u root -p shutdown / 停止数据库#/usr/local/mysql/bin/mysqld_safe -user=mysql & / 后台用 mysql 用户启动 mysql限制连接用户的数量数据库的某用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现，设置 f 文件的 mysqld 中的 max_user_connections 变量来完 成 。GRANT 语句也可以支持 资源控制选项来限制服务器对一个账户允许的使用范围。#vi /etc/fmysqldmax_user_connections 2用户目录权限限制默认的 mysql 是安装在 /usr/local/mysql ，而对应的数据库文件在 /usr/local/mysql/var 目录下，因此，必须保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。确保 mysqld 运行时，只使用对数据库目录具有读或写权限的 linux 用户来运行。# chown -R root /usr/local/mysql/ /mysql 主目录给 root# chown -R mysql.mysql /usr/local/mysql/var / 确保数据库目录权限所属 mysql 用户命令历史记录保护数据库相关的 shell 操作命令都会分别记录在 .bash_history ，如果这些文件不慎被读取，会导致数据库密码和数据库结构等信息泄露，而登陆数据库后的操作将记录在 .mysql_history 文件中，如果使用 update 表信息来修改数据库用户密码的话，也会被读取密码，因此需要删除这两个文件，同时在进行登陆或备份数据库等与密码相关操作时，应该使用 -p 参数加入提示输入密码后，隐式输入密码，建议将以上文件置空。# rm .bash_history .mysql_history / 删除历史记录# ln -s /dev/null .bash_history / 将 shell 记录文件置空# ln -s /dev/null .mysql_history / 将 mysql 记录文件置空禁止 MySQL 对本地文件存取在 mysql 中，提供对本地文件的读取，使用的是 load data local infile 命令，默认在 5.0 版本中，该选项是默认打开的，该操作令会利用 MySQL 把本地文件读到数据库中，然后用户就可以非法获取敏感信息了，假如你不需要读取本地文件，请务必关闭。应该禁止 MySQL 中用 “ LOAD DATA LOCAL INFILE ” 命令。网络上流传的一些攻击方法中就有用它 LOAD DATA LOCAL INFILE 的，同时它也是很多新发现的 SQL Injecti on攻击利用的手段！黑客还能通过使用 LOAD DAT ALOCAL INFILE 装载 “ /etc/passwd ” 进一个数据库表，然后能用 SELECT 显示它，这个操作对服务器的安全来说，是致命的。可以在 f 中添加 local-inf ile=0 ，或者加参数 local-inf ile=0 启动 mysql 。#/usr/local/mysql/bin/mysqld_safe -user=mysql -local-inf ile=0 &#mysql load data local infile sqlfile.txt into table users fields terminated by ,;#ERROR 1148 (42000): The used command is not allowed with this MySQL version-local-inf ile=0 选项启动 mysqld 从服务器端禁用所有 LOAD DATA LOCAL 命令，假如需要获取本地文件，需要打开，但是建议关闭。需要打开，但是建议关闭。MySQL 服务器权限控制MySQL 权限系统的主要功能是证实连接到一台给定主机的用户，并且赋予该用户在数据库上的 SELECT 、INSERT 、 UPDATE 和 DELETE 等权限（详见 user 超级用户表）。它的附加的功能包括有匿名的用户并对于MySQL 特定的功能例如 LOAD DATA INFILE 进行授权及管理操作的能力。管理员可以对 user ， db ， host 等表进行配置，来控制用户的访问权限，而 user 表权限是超级用户权限。只把 user 表的权限授予超级用户如服务器或数据库主管是明智的。对其他用户，你应该把在 user 表中的权限设成 N 并且仅在特定数据库的基础上授权。你可以为特定的数据库、表或列授权， FILE 权限给予你用 LO ADDATA INFILE 和 SELECT . INTO OUTFILE 语句读和写服务器上的文件，任何被授予 FILE 权限的用户都能读或写 MySQL 服务器能读或写的任何文件。 ( 说明用户可以读任何数据库目 录下的文件，因为服务器可以访问这些文件）。 FILE 权限允许用