服务器安全加固措施总结

雨点打透心脏的1/2处 2023-07-11 12:55 2阅读 0赞

# 一、Nginx加固 #

隐藏X-Powered-By头和开启日志：在nginx配置文件的 http 段增加或修改为

proxy\_hide\_header X-Powered-By;  
proxy\_hide\_header Server;  
access\_log logs/access\_oa.log main;

隐藏Nginx服务的Banner：  
Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态： nginx配置文件的server栏目下，配置server\_tokens项 server\_tokens off;

# 二、MySQL加固 #

3306改为3506 和禁用local-infile选项： 在/etc/my.cnf 的 mysqld 段添加  
port=3506  
local-infile=0

确保配置了log-error选项：  
编辑Mysql配置文件/etc/my.cnf，在mysqld\_safe 段落中配置log-error参数，<log\_path>代表存放日志文件路径，如：/var/log/mysqld.log，并重启mysql服务：  
log-error=<log\_path>

禁用symbolic-links选项：  
编辑Mysql配置文件/etc/my.cnf，在mysqld 段落中配置symbolic-links=0，5.6及以上版本应该配置为skip\_symbolic\_links=yes，并重启mysql服务。

# 三、CentOS加固 #

## 1、强制用户不重用最近使用的密码，降低密码猜测攻击风险 ##

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam\_unix.so 这行的末尾配置remember参数为5-24之间，原来的内容不用更改，只在末尾加了remember=5。

## 2、检查密码长度和密码是否使用多种字符类型 ##

编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam\_cracklib.so 这一行。增加配置minlen（密码最小长度）设置为9-32位，minclass（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。如  
password    requisite     pam\_cracklib.so try\_first\_pass retry=3 minlen=11 minclass=3

## 3、设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险 ##

编辑/etc/ssh/sshd\_config，将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0-3之间。  
ClientAliveInterval 600  
ClientAliveCountMax 2

## 4、设置密码失效时间 ##

使用非密码登陆方式如密钥对，请忽略此项。在 /etc/login.defs中将 PASS\_MAX\_DAYS 参数设置为 60-180之间，如:  
PASS\_MAX\_DAYS 90  
需同时执行命令设置root密码失效时间：  
chage --maxdays 90 root

## 5、确保SSH MaxAuthTries设置为3到6之间 ##

在/etc/ssh/sshd\_config中取消MaxAuthTries注释符号\#，设置最大密码尝试失败次数3-6，建议为4：  
MaxAuthTries 4

## 6、确保密码到期警告天数为7或更多 ##

在 /etc/login.defs 中将 PASS\_WARN\_AGE 参数设置为7-14之间，建议为7：  
PASS\_WARN\_AGE 7  
同时执行命令使root用户设置生效：  
chage --warndays 7 root

## 7、设置密码修改最小间隔时间，限制密码更改过于频繁 ##

在 /etc/login.defs 中将 PASS\_MIN\_DAYS 参数设置为7-14之间,建议为7：  
PASS\_MIN\_DAYS 7  
需同时执行命令为root用户设置：  
chage --mindays 7 root

## 8、禁止SSH空密码用户登录 ##

编辑文件/etc/ssh/sshd\_config，将PermitEmptyPasswords配置为no:  
PermitEmptyPasswords no

# 四、Tomcat加固 #

1、tomcat7需要升级到7.0.100及以上  
2、避免使用root用户运行，tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户：使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者，如chown -R tomcat:tomcat /usr/local/tomcat  
3、在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点：<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>  
autoDeploy 设置为 false  
4、在webapps目录下创建error.jsp，定义自定义错误信息  
5、限制服务器平台信息泄漏：进入Tomcat安装主目录的lib目录下，比如 cd /usr/local/tomcat7/lib ，将 catalina.jar 中的 org/apache/catalina/util/ServerInfo.properties，修改文件ServerInfo.properties中的server.info和server.number的值，如分别改为：Apache/11.0.92、11.0.92.0 ，重启Tomcat服务

6、Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录，存在极大安全风险，建议移除：请删除Tomcat示例程序和目录、管理控制台等，即从Tomcat根目录的webapps目录，移出或删除docs、examples、host-manager、manager目录。

7、自启动  
把tomcat运行需要用到的目录的所有者都改为tomcat  
chown -R tomcat:tomcat /data/logs  
修改自启动  
vi /etc/rc.d/rc.local  添加如下内容  
su - tomcat -c "/home/test/tomcat-8080/bin/startup.sh"

本文内容到此结束，更多内容可关注公众号和个人微信号：

![20191103090939423.jpg][]![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Jvd2VpMDI2_size_16_color_FFFFFF_t_70][]

[20191103090939423.jpg]: https://img-blog.csdnimg.cn/20191103090939423.jpg
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Jvd2VpMDI2_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20190321224208825.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Jvd2VpMDI2,size_16,color_FFFFFF,t_70