腾讯内部培训apache与mysql安全配置.ppt

应用安全配置 Apache与Mysql安全配置 安全中心 杨勇 coolcyang 应用安全配置 Apache Mysql Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 版本安全补丁更新 安全公告 /security_report.html 下载发行版校验 Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 问题 Apache有哪些敏感信息？ 泄露这些敏感信息会有哪些危害？ 您如何屏蔽这些信息？ Apache安全配置 敏感信息保护 屏蔽banner ServerTokens Prod ServerSignature Off 屏幕默认目录 /var/www/icons 下文件 /var/www/htdocs下默认文件 /var/www/manual下默认文件 /var/www/cgi-bin下默认文件 屏蔽枚举帐户 UserDir public_html 注释掉该行 #UserDir public_html Apache安全配置 敏感信息保护 去掉索引功能Options –Indexes 例子 Apache虚拟主机的配置应该在httpd.conf里第一个虚拟主机前面加上这段设置，当用户用IP访问时候默认跳转到部门主页中。 VirtualHost XXX.XXX.XXX.XXX ServerName DocumentRoot /usr/local/apache/htdocs Directory /usr/local/apache/htdocs Options -Indexes -Includes Order deny,allow Deny from all /Directory /VirtualHost Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 最小化安全原则--模块 编译 例子 $ ./configure \ --prefix=/usr/local/apache \ --enable-module=rewrite \ --enable-module=so \ --disable-module=imap \ --disable-module=userdir 检查 静态编译 DSO编译方式 Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 访问控制 Web根目录设置 DocumentRoot /应为 web首页目录 启动帐户 启动Apache的帐号应为nobody User nobody Group nogroup Apache安全配置 访问控制 设置合理的属主 cp httpd /usr/local/apache/bin chown 0 /usr/local/apache/bin/httpd chgrp 0 /usr/local/apache/bin/httpd chmod 511 /usr/local/apache/bin/httpd 设置合理的权限 # chown -R root:root /usr/local/apache # find /usr/local/apache -type d | xargs chmod 755 # find /usr/local/apache -type f | xargs chmod 644 # chmod -R go-w /usr/local/apache Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 AntiDOS配置-配置连接参数 HARD_SERVER_LIMIT MinSpareServers 与MaxSpareServers MaxClient s Keep-Alive StartServers TimeOut MaxKeepAliveRequests KeepAliveTimeout Apache安全配置 Apache安全配置 Apache安全配置 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 日志维护和保护 Apache安全配置 日志维护和保护 设置权限 日志格式 存放位置（独立分区） Common Log Format (CLF)