找防水抓漏工程機會,線上超過上百筆精選防水抓漏案件,無論接案新手 專職SOHO、接案工作室、公司,都能 | 專業鐵皮屋搭建工程,自有工廠料實在 多年專業打造堅固美觀鐵皮屋,免費到府丈量估價 |
[教學]linux 安全設定 |
房東:小橋 發表時間:2007-04-24 | [檢舉] |
基本上,我的經驗大多在apache + mysql + php上,用過的主機也不多,debian就夠我玩了,所以其他的問題我並不專精,在此只能分享一些設定檔的小技巧。 有關安全性的設定,只要我有接觸,將來還會持續的更新。 [全文:] 1. 誰可以遠端連線?(sshd) 1.1 sshd /etc/ssh/sshd_config PermitRootLogin no AllowUsers username username AllowGroups groupname wheel 1.2 TCP Wrapper /etc/hosts.deny sshd: all /etc/hosts.allow sshd: 192.168.1.0/255.255.255.0 61.222.321.23 2. 誰可以執行su? /etc/pam.d/su # 將group adm設定為可以執行su的群組 auth required pam_wheel.so group=adm # 把使用者加入group中 /etc/group adm:x:4:username,username,username 3. 誰可以sudo? apt-get install sudo visudo # 千萬別將sudo設為全開,那是愚蠢至極的事情 # 除非站上有許\多人員需要直接用到shell # 或是避免自己做出愚蠢的事情 # 不然根本沒有裝設sudo的必要 # 底下開放網頁管理人員的sample # ======================================== # User alias specification User_Alias WEBMASTERS = username1, username2, username3 # User privilege specification WEBMASTERS ALL = (www-data) ALL, (root) /usr/bin/su www-data 4. 誰可以瀏覽網頁? /etc/apache/httpd.conf # 像awstats、mrtg的網頁,應該都把他給藏起來 Order deny,allow Deny from ALL Allow from 192.168.1.0/24 127.0.0.1 xxx.xxx.xxx.xxx 5. mysql + phpmyadmin # 在debian上,mysql 裝好後,root可以直接登入不用密碼 # 但只有在localhost才可以這樣做 # 然而,裝上了phpmyadmin之後 # 我們便可以遠端透過 phpmyadmin 存取localhost上的mysql # 若不做點什麼,直接套用預設,等於mysql的大門全開 5.1 改掉連結檔名(防止try密碼) mv /xxx/phpmyadmin /xxx/sqlbrowser 5.2 用第4點寫的方式,限制web server瀏覽 Order deny,allow Deny from ALL Allow from 192.168.1.0/24 127.0.0.1 xxx.xxx.xxx.xxx 5.3 新增mysql帳號,砍掉root@localhost mysql上沒有必要用root當作帳號 phpmyadmin > 首頁 > 權限 裡可以輕鬆設定 6. 防砍站 # study area的netman有個很不錯的script # 對於web server常被 SPAM 暴力攻擊的同樣也有用 http://phorum.study-area.org/viewtopic.php?t=13643 A. 參考 vsftpd: http://linux.vbird.org/linux_server/0410vsftpd.php http://phorum.vbird.org/viewtopic.php?t=10799 Securing Debian Manual:(中文簡體) http://www.debian.org/doc/manuals/securing-debian-howto/index.zh-cn.html |
廣利不動產-板橋在地生根最實在--新板特區指名度最高、值得您信賴的好房仲 完整房訊,房屋、店面熱門精選物件,廣利不動產 優質仲介,房屋租賃、買賣資訊透明,交易真安心! 廣利不動產-新板特區指名度最高、值得您信賴的好房仲 您的托付,廣利用心為您服務 |