系统安全加固

系统安全加固

1.账户安全
1.1锁定系统中多余的自建账户
1.2设置系统口令策略
1.3禁用root之外的超级用户
1.4限制能够su为root的用户

2.最小化服务
2.1停止或禁用与承载业务无关的服务
2.2yum安装服务禁止安装与服务之外的安装包

3.网络访问控制
3.1使用SSH进行管理
3.2禁止root远程登陆
3.3修改root远程登陆端口
3.4屏蔽登陆banner信息
3.5禁止使用Ctrl+Alt+Del重启系统
3.6修改运行服务版本信息

4.用户鉴别
4.1设置账户锁定登陆失败锁定次数 锁定时间
4.2修改账号TMOUT值，设置自动注销时间
4.3设置Bash保留历史命令的条数
4.4通过脚本记录用户输入操作命令

5.审计策略
5.1配置系统日志策略配置文件
5.2审计日志空间

6.补丁策略
6.1关注漏洞网站发布漏洞及时给系统或服务打补丁

               数据库安全加固

1.修改root用户的密码
如果采用rpm安装 会产生随机密码文件，文件在/root下 隐藏文件.mysql_secure文件里，到文件里得到密码后删除此文件，登陆到mysql中修改密码。

2.删除默认的数据库用户
我们的数据库是在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要。mysql初始化后会自动生成空用户和test库，这会对数据库构成威胁，我们全部删除。
 /usr/local/mysql/bin/mysql_secure_installation

3.改变默认的mysql管理员的用户名
因为默认的mysql的管理员名称是root，所以如果能够修改的话，能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库，把root用户改为"admin"

4.提高本地安全性
提高本地安全性，主要是防止mysql对本地文件的存取，比如黑客通过mysql把/etc/passwd获取了，会对系统构成威胁。mysql对本地文件的存取是通过SQL语句来实现，主要是通过Load DATA LOCAL INFILE来实现，我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件。
禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数：
set-variable=local-infile=0

5.禁止远程连接mysql
因为我们的mysql只需要本地进行连接，所以我们无需开socket进行监听，那么我们完全可以关闭监听的功能。
有两个方法实现：
配置my.cnf文件，在[mysqld]部分添加 skip-networking 参数
mysqld服务器中参数中添加 --skip-networking 启动参数来使mysql不监听任何TCP/IP连接，增加安全性。

6.控制数据库访问权限
最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限，这样就很好避免了数据库用户名和密码被黑客查看后最小损失。

7.限制一般用户浏览其他用户数据库
如果有多个数据库，每个数据库有一个用户，那么必须限制用户浏览其他数据库内容，可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。

8.忘记mysql密码的解决办法
如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &)，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用新口令登陆了。

9.数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的，那么对应的数据库文件就是在/usr/local/mysql/var目录下，那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。
我们修改该目录的所属用户和组是mysql，同时改变访问权限：
chown -R mysql.mysql /usr/local/mysql/var
chmod -R go-rwx /usr/local/mysql/var

10.删除历史记录
执行以上的命令会被shell记录在历史文件里，比如bash会写入用户目录的.bash_history文件，如果这些文件不慎被读，那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作，以防万一。
rm .bash_history .mysql_history
cat /dev/null > .bash_history
cat /dev/null > .mysql_history

Tomcat安全加固
1.补丁安装
关注tomcat官方发布的最新漏洞及补丁（httpd.tomcat.org）

2.删除文档和实例程序
到tomcat的家目录下的webapps文件夹，删除默认存在的docs和examples文件夹

3.检查控制台口令
打开http://IP:8080/manager/html可以访问tomcat manager页面，一般不需要通过web页面的manager来管理tomcat，删除webapps目录下的manager和host-manager文件夹，如果需要使用tomcat manager 到tomcat_home/conf/tomcat-user.xml 修改用户名和密码
打开http://IP:8080/admin可以访问tomcat admin页面 删除admin的文件夹
没有特殊的使用需求 删除webapps下的所有文件夹

4.设置SHUTDOWN字符串
防止恶意用户telnet到8005端口后，发送shutdown命令关闭tomcat服务
打开tomcat_home/conf/server.xml，查看是否设置了负责的字符串

5.设置运行身份
以tomcat用户运行服务，增强安全性
创建apache组 创建apache用户加入到apache组，以tomcat身份启动服务

6.禁止列目录
防止直接访问目录时由于找不到默认的主页而列出目录下所有的文件
到web.xml下查看listings是否设置为false

7.日志审核
通过nginx的upstream模块获取

8.自定义错误信息隐藏Tomcat信息
编辑conf/web.xml，在标签上添加以下内容：

    404     /404.html     500     /500.html

Nginx服务器的安全配置

1. Nginx.conf的配置

2. php-fpm.conf的配置

3. nginx和php-fpm的运行账户对磁盘的权限配置

4. Php.ini的配置
    
   常见需要配置的操作方法

5. 禁止一个目录的访问
   示例：禁止访问path目录
   location ^~ /path {
   deny all;
   }
   可以把path换成实际需要的目录，目录path后是否带有"/",带“/”会禁止访问该目录和该目录下所有文件。不带"/"的情况就有些复杂了，只要目录开头匹配上那个关键字就会禁止；注意要放在fastcgi配置之前。

6. 禁止php文件的访问及执行
   示例：去掉单个目录的PHP执行权限
   location ~ /attachments/..(php|php5)?$ {
   deny all;
   }
   示例：去掉多个目录的PHP执行权限
   location ~  
   /(attachments|upload)/..(php|php5)?$ {
   deny all;
   }

7. 禁止IP的访问
   示例：禁止IP段的写法：
   deny 10.0.0.0/24;
   示例：只允许某个IP或某个IP段用户访问，其它的用户全都禁止
   allow  
   x.x.x.x;  
   allow 10.0.0.0/24;  
   deny all;
   需要解决的常见问题1. 让木马上传后不能执行
   针对上传目录，在nginx配置文件中加入配置，使此目录无法解析php。

8. 让木马执行后看不到非网站目录文件
   取消php-fpm运行账户对于其他目录的读取权限。

9. 木马执行后命令不能执行
   取消php-fpm账户对于sh的执行权限。

10. 命令执行后权限不能过高
    Php-fpm账户不要用root或者加入root组。

Nginx安全配置方案

1. 修改网站目录所有者为非php-fpm运行账户，此处修改所有者为root
   命令：

!bash

chown -R root:root html/

2. 修改nginx及php-fpm的运行账户及组为nobody
   nginx.conf
   Php-fpm.conf

3. 取消nobody对所有目录的的读取权限，然后添加对网站目录的读取权限
   命令：

!bash

chmod o-r –R  /
chmod o+r –R html/

4. 取消nobody对于/bin/sh 的执行权限
   chmod 776 /bin/sh

5. 确认网站目录对于nobody的权限为可读可执行，对网站文件的权限为可读

6. 对于上传目录或者写入写文件的目录添加nobody的写入权限

7. 配置nginx.conf 对于上传目录无php的执行权限

8. 配置nginx.conf禁止访问的文件夹，如后台，或者限制访问ip

Redis 安全加固
1.网络加固
如果仅为本地通信，请确保redis监听在本地。具体设置：/etc/redis/redis.conf中配置如下:    bind 127.0.0.1

2.防火墙设置
如果需要其他机器访问，或者设置了Master-Slave模式，需添加防火墙设置，具体参考如下：
/sbin/iptables  -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT
3.添加认证
默认情况下，redis未开启密码认证。开启认证模式，具体参考如下配置：
打开 /etc/redis/redis.conf，找到requirepass参数，设置密码，保存redis.conf，最后重启redis服务，/etc/init.d/redis-server restart

4.设置单独账户
可设置一个单独的redis账户。创建redis账户，通过该账户启动redis服务，具体操作如下：setsid sudo -u redis /usr/bin/redis-serer /etc/redis/redis.conf

5.重命名重要命令
redis没有权限分离之说，无管理员账号和普通账户之分，导致攻击者登陆后可执行任意操作，因此需要隐藏重要命令，具体如下：FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL等。
在redis2.8.1 及 redis3.x(❤️.0.2) 版本下存在eval沙箱逃逸漏洞，攻击者可通过该漏洞执行任意Lua代码。
具体缓解攻击操作，供参考：下述配置将config/flushdb/flushall设置为空，即禁用该命令；也可命名一些攻击者难以猜解的名字。
rename-command CONFIG ""
rename-command flushall ""
rename-command flushdb ""
rename-command shutdown shotdown_test
保存后，执行/etc/init.d/redis-server restart重启生效。