CentOS release 5.3系统安全配置手册

1、CentOS release 5.3系统安全配置手册centos5. 3版目录服务安全配置41.1 Apache服务器的安全配置41.1.1打补丁41.1.2构建安全的目录结构51.1.3使用特殊用户和用户组5用于Apache1.1.4Web目录的访问策略61.1.5apache服务器访问日志7的配置1.1.6 Apache服务器密码保护81.1.7降低CGI和SSI的风险101.1.8使用SSL增强Apache111.1.9 Apache服务器防止DoS攻击122.1 Iptables的安全配置123.1 MYSQL安全设置134.1 vsftpd的安全配置154.1.1创建guest用户1

2、54.1.2虚拟用户15的生成修改4.1.3vsftpd.conf文件164.1.4用户权限配置165.1squid服务器的安全配置175.1.1限制内部网的一部分IP使用的代理服务器. 175.1.2限制内部网的部分MAC地址的代理服务器的使用. 185.1.3限制访问内部网用户的部分站点185.1.4限制内部网的用户访问特定格式的文件195.1.5限制内部网用户使用代理服务器的时间195.1.6控制内部网用户使用代理服务器的并发连接数. 206.1 SSH的安全配置206.1.1如果限制ssh远程登录，请以超级用户帐户直接登录： 206.1.2ssh的默认端口的变更，206.1.3只允许通

3、过指定的网络接口访问ssh服务216.1.4限制空密码注册216.1.5仅允许部分用户通过ssh访问主机. 21只允许6.1.6组成员通过ssh访问主机. 216.1.7版本1协议被禁用216.1.8添加用于用户连接到ssh服务器的标头(从文件中读取)，227.1 DNS安全配置22系统安全配置301 .删除系统特定的用户帐户： 302 .删除系统特定的组帐户313 .用户密码设置314 .自动注销帐户时间的变更315 .限制shell命令的记录大小326 .注销时删除命令记录327 .通过以下命令添加必要的用户组和用户帐户328 .阻止任何人充当root339 .更改ssh服务的根登录权限3

4、310 .关闭系统不使用的服务： 3411 .防止系统从外部/内部对ping请求作出响应3912 .修改/etc/host.conf文件3913 .不允许从不同的控制台登录3914 .禁止关闭控制- alt-delete键盘的命令4015 .使用chattr命令添加无法修改以下文件的属性： 4016 .锁定系统服务端口列表文件4217 .系统文件权限变更4218 .添加DNS 4319 .主机名称修改4320.selinux修正4321 .关闭ipv 64422.linux如何调整系统的时区/时间4423 .语言45的设定24.tmpwatch定时清除45服务安全设置。1.1 Apache服务

5、器的安全设置1.1.1补丁应用在上的变更log上写着bug fix、security bug这样的文字。 因此，Linux管理员必须经常关注相关站点的缺陷，并应用系统升级和修补程序。 使用最好的安全和最新的安全版本对增强Apache服务器的安全性很重要。 如果在0.9.6e版或更高版本中进行openssl升级，伪造的密钥将毫无用处，无法渗透到系统中。 虽然一些抗病毒程序可以发现并杀死ssl病毒，但是蠕虫可能会逃避抗病毒软件的跟踪。 重新启动Apache可以杀死这种病毒，但没有积极的作用防止将来感染。隐藏Apache的版本进行伪装通常，软件漏洞与特定版本相关，所以版本

6、号是黑客最有价值的。默认情况下，显示Apache版本模块(HTTP返回标头)。 列举目录后，会显示域名信息(文件列表正文)，要删除Apache的版本号，请更改配置文件http.conf。 找到关键字serversignature，然后设置如下服务器签名关闭。Serversignature off服务器令牌prod重新启动服务器。通过分析web服务器的类型，可以大致推测os的类型。 例如，在windows中使用IIS，在Linux中Apache是最常见的。默认的Apache配置没有信息保护机制，允许浏览目录。 “Apache/1.3.27 serveratapache.Linux forum.n

7、et port 80”和“apache/2.0.49(unix)PHP/4.38”等信息通常可以通过浏览目录获得。您可以通过更改配置文件中的servertokens参数来隐藏有关Apache的信息。 但是，由于Red Hat Linux运行的Apache是一个编译的程序，提示信息被编译到程序中，因此，要隐藏这些信息，需要更改Apache的源代码，重新编译安装程序以替换提示内容以Apache 2.0.50为例，编辑ap_release.h文件并选择“# define AP _ server _ base product ”Apache“# define AP _ server _ base pr

8、oduct ”mios ost-iiiApache安装完成后，更改httpd.conf配置文件，将“servertokens full”更改为“servertokens prod”，将“Serversignature on”更改为“Serversignature on 重新启动服务器后，当工具进行扫描时，您会看到消息中显示的操作系统是windows。1.1.2创建安全的目录结构Apache服务器有四个目录：serverroot保存配置文件(conf子目录)、二进制文件和其他服务器配置文件。文档根存储网站内容，如HTML文件和图像。scripalias保存CGI脚本文件。customlog和er

9、rorlog保存访问日志和错误日志。创建四个主要目录相互独立，并设置为不存在父子逻辑关系的目录。要求：必须将serverroot目录配置为只有root用户才能访问。 只有管理网站内容的用户和使用Apache服务器的Apache用户的Apache用户组才能访问文档根。 只有CGI开发人员和Apache用户才能访问Scripalias目录。 只有root用户才能访问日志目录。1.1.3使用特殊用户和用户组用于Apache根据最小权限原则(保证系统安全的最基本原则之一，限制用户访问系统和数据所需的最小权限，确保用户可以完成必要的操作，将非法用户和异常操作造成的损失减少到最小)，Apache是适当的A

10、pache必须使用特殊的用户和用户组，以避免在系统(如nobody和nogroup用户)中使用预配置的帐户。 因为只有root用户可以运行Apache，所以文档root应该可以由管理网站内容的用户和使用Apache服务器的Apache用户和用户组访问。 因此，“a”用户通常可以在网站上发布内容，并以httpd的形式运行Apache服务器组网电视网。用户模式- gweb teamaChown -R http.webteam /www/htmlchmodr 2570/www/htdocs如果超级用户访问日志目录，则必须按如下方式设置此目录的权限：chownr root.root/etc/logsc

11、hmodr 700/etc/htd cs1.1.4Web目录的访问策略对于可以访问的web目录，请不要以相对保守的方式访问，而不要让用户显示目录索引的列表。(1)禁止使用目录索引当Apache服务器收到用户对目录的访问时，它会搜索在目录索引目录中指定的目录索引文件。 默认情况下，此文件为index.html。 如果文件不存在，Apache会创建一个动态列表，以向用户显示该目录的内容。 通常，这种设置会显示网站的结构，因此必须更改配置文件，以避免显示动态目录索引。要修改配置文件httpd.conf，请：optionsindexefollowsymlinksOptions命令通知Apache禁止使

12、用目录索引。 Followsymlinks表示符号链接不可用。(2)禁止默认访问一个好的安全策略是禁止默认访问，并仅启用对指定目录的访问。 要允许访问/var/www/html目录，需要进行以下设置Order deny，allow从全部允许(3)禁止用户重负荷要防止用户重新加载(修改)目录配置文件(.htaccess )，请设置以下内容Allowoverride NoneApache服务访问控制方法Apache的access.conf文件负责设置文件的访问，并提供对internet域名和IP地址的访问控制。 其中包含控制被授权访问Apache目录的用户的命令。 必须将deny from all

13、设置为初始化命令，并使用allow from命令打开访问权限。 如果要允许主机访问到54，可以进行以下设置Order deny，allowDeny from allallow from pair /255.255.01.1.5配置Apache服务器访问日志(1)相关简介的说明优秀的Linux管理员关注服务器日志系统，并提供异常访问的线索。 Apache可以记录所有访问请求。 同样，错误的请求也会被记录下来。 Apache配置文件有两个关系和与日志相关的配置文件记录对$ customlog/www/logs/access _ lo

14、g common #网站的每个访问请求#。记录发生$ error log/www/logs/error _ log common #错误状态的请求自定义日志显示Apache访问日志的保存位置和格式。 Errorlog表示Apache错误日志的存储位置。 在没有配置虚拟主机的服务器中，可以直接在httpd.conf中搜索和更改customlog配置。 另一方面，在具有多个虚拟服务器的web服务器中，需要分离各个虚拟服务器的访问日志来进行各个虚拟服务器的访问统计和分析，所以在虚拟服务器结构中需要进行独立的日志结构。(2)Web服务器日志的轮换Web服务器的轮换有三种方法，第一个是使用Linux系统

15、自身的轮换机构logrotate。 第二，利用Apache具有的旋转程序cronolog。 大型web服务器通常使用负载均衡技术来提高web站点的服务能力，多台服务器在后台提供web服务，大大简化了服务器的分布规划和扩展。 如果有多台服务器，则需要整合日志进行统计分析。 因此，为了保证统计的正确性，需要在每天的时间段严格地自动生成日志。(使用logrotate实现轮换Linux系统附带的logrotate是轮换各种日志文件(syslog、mail )的程序。 该程序由执行程序的服务crond每天上午4点02分执行。 日志文件显示在/etc/cron.daily目录中#！ /bin/sh/$ u

16、ser/sbin/logrotate/etc/logrotate.conf每天早上crond都会启动/etc/cron.daily目录中的logrotate脚本来轮换日志。使用rotogs的轮换Apache提供了通过管道将日志发送到另一个程序而不直接写入文件的功能。 这大大提高了日志文件的处理能力。 通过此管道获得的程序可以是日志分析器、压缩记录程序等任意程序。 要执行向管道写入日志的操作，只需将配置文件的日志文件部分的内容替换为“|程序名称”。 下面是一个例子#compressed logs$ custmo nlog |/用户/宾/gzip-c/var/log/access _ log.gz common这样，就可以使用Apache服务附带的轮换工具来轮换日志文件。 Rotatelogs基本上根据时间和大小控制日志。1.1.6 Apache服务器的密码保护. htaccess文件是Apache服务器上的配置文件。 这是一个可以使用任何文本编辑器编写的文本文件。 htaccess文件提供了更改目录设置的方法。 换句话说，