centos系统安全方面.docxVIP

一 .Centos 系统安全方面 1、用防火墙关闭不须要的任何端口，别人 PING 不到服务器，威胁自 然减少了一大半 2、更改 SSH 端口，最好改为 10000 以上，别人扫描到端口的机率也会下降 3、删除系统臃肿多余的账号： userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp如果你不允许匿名 FTP，就删掉这个用户帐号 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers 4、 更改下列文件权限，使任何人没有更改账户权限： chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow 5、 chmod 600 /etc/xinetd.conf 6、 关闭 FTP 匿名用户登陆 二PHP安全篇 1、 开启安全模式（做为商业应用的服务器不建议开启） #vi /usr/local/Zend/etc/php.ini （ 没装 ZO 时 php.ini 文件位置为： /etc/php.ini） safe_mode = On 2、 锁定 PHP 程序应用目录 #vi /etc/httpd/conf.d/virtualhost.conf 加入 php_admin_value open_basedir /home/*** （ *** 为站点目录） 3、 千万不要给不必要的目录给写权限，也就是 777 权限，根目录保持为 711 权限，如果不 能运行 PHP 请改为 755 4、 屏蔽 PHP 不安全的参数 （webshell） #vi /usr/local/Zend/etc/php.ini （ 没装 ZO 时 php.ini 文件位置为： /etc/php.ini） disable_functions = system,exec,shell_exec,passthru,popen 以下为我的服务器屏蔽参数： disable_functions = passthru,exec,shell_exec,system,set_time_limit,ini_alter,dl, pfsockopen,openlog,syslog,readlink,symlink,link,leak,fsockopen,popen,escapeshell cmd,error_log 在CentOS安装好之后，安全性以及对硬件的适应性方面，可能并不完全符合我们的 实际情况。在这里，对新的 Cen tOS系统进行初始环境设置将以如下方面为原则： 1，为了安全，尽最大可能将访问限制限制到可能的最大程度； 2，为了节省内存及 CPU使用率（以及安全方面的考虑），尽最大可能将不需要的服 务关闭； 3，为了减少误操作可能带来的损失，平时通过 wheel组用户登录进行系统管理； 4，为了让系统变的更加轻便、快速，将内核中不需要的模块卸载； Cen tOS 4.4的安装后初始环境设定 安装完毕重新启动系统后，出现如下的状态: [1]系统的登录与退出 [2] 一般用户的建立与删除 [3]通过一般用户登录为 root用户 因为root用户对系统具有全权的操作权限，为了避免一些失误的操作，建议在一般情 况下，以一般用户登录系统，必要的时候需要 root操作权限时，再通过 “siT命令来登录为 root用户进行操作。 [4]建立管理员组内一般用户 在一般情况下，一般用户通过执行 “su”命令、输入正确的root密码，可以登录为root 用户来对系统进行管理员级别的配置。 但是，为了更进一步加强系统的安全性， 有必要建立 一个管理员的 组，只允许这个组的用户来执行 “si/命令登录为root用户，而让其他组的 用户即使执行 “si/、输入了正确的root密码，也无法登录为 root用户。在UNIX下，这个 组的名称通常为 “ wheel” 以上操作完成后，可以再建立一个新用户，然后用这个新建的用户测试会发现， 没有加 入到wheel组的用户，执行 “su-命令，即使输入了正确的 root密码，也无法登录为 root 用户。 ⑸ 建立PPPoE连接（非xDSL接入方式的用户可跳过此步骤）  然后，启动ADSL连接。  这时，通过“ifconfig命令可以看到各网络接口的信息（IP地址等等）。