我对安全方面也不是了解很多，最近遇到了安全方面的问题，查了一些资料，亲自试了试，选出一些比较重要的记录一下。

安全方面即将加入阿里云的@Natural__Light大牛给我演示过不少入侵的方法，算“资深”了，从在中学开始入侵学校网络，咱们大学里的那些破网站，@Natural__Light大牛玩一样进后台。

1. 如果要考虑安全问题，就必须有一个假设：一切用户输入的内容都是不安全的，一切参数的传递都是不安全的。入侵者可能利用每一个我们假设是安全的地方。
2. Linux方面
   • 限制用户账号，开发和运维分开。
   • SSH登陆必须限制主机来源，切忌允许全部IP登陆，最好port也要修改。
   • 使用iptables限制端口出入和IP，内部系统只能允许内部IP。
   • 注意为不同的用户甚至不同的功能区分不同的账号和用户组。
   • 为关键文件和目录一定要设置好权限，千万不能777，配合用户和分组保证只有需要的人有需要的权限，尤其是/etc下的。
3. Apache方面
   • 使用专门的账号和用户组来启动Apache。
   • 不同功能和站点的配置文件最好拆分为不同的文件。
   • 设置ServerSignature Off和ServerTokens ProductOnly，防止服务器广播敏感信息和HTTP头透露关键信息。
   • 禁止浏览目录。
   • 只监听指定的IP和端口。
   • 必要时可以修改代码伪装服务器版本信息。
   • 为每个目录建立.htaccss文件保护。
   • 只允许特定常用的User-Agent访问。
   • 利用iptables或Nginx做反向代理，过滤DDOS攻击。
4. MySQL方面
   • 必须设置MySQL目录的权限，限制访问。
   • 必须使用一个独立的用户和用户组，没有Shell，也不能运行其他程序。
   • 必须删除无用户名账户，必须修改root账户密码，并且要限制主机来源。
   • 必须删除test库，这个库任何人都可以建表，危险。
   • 为每个功能单独建账号，使用不同的密码，限制主机来源，只给需要的权限。
   • 细化权限粒度，不要给任何账户不必要的权限。
5. PHP方面
   • 一定要分析任何用户输入或者传递的参数，过滤其中的危险字符。
   • 使用系统自带的过滤函数一定要了解其机制，避免对方利用单/多字符集的方法绕过。
   • 在前端限制特殊字符被输入，接到输入后还需要再次进行过滤。
   • 系统的错误信息必须被屏蔽或者关闭，错误可以跳转。
   • 禁止采用root账户连接数据库。
   • 用专门的账户运行PHP。

总的来说最重要的就是：以最低粒度控制权限，过滤任何用户可以修改的进入系统的内容。

类似的文章

• 2009年10月13日 -- 推荐一位牛人 (0)

http://lamp.linux.gov.cn/jinbuguo_florilegium.html——金步国

曾经苦苦寻找GCC编译参数的详解，未果，翻到Google结果的N页之后终于发现了一篇完整的介绍GCC参数优化的文章，习惯性的去掉目录打开http://lamp.linux.gov.cn/，宝贝啊。

此人可以“可以从源代码开始，全手动编译一个实用的服务器系统，无需借助任何包管理器，可以全手动处理依赖关系。”，如果读了他的文章，就不会觉得这是吹嘘了~

决定把此人的文档都看一遍，很多稀有资源！

类似的文章

• 2010年01月10日 -- LAMP架构下的安全注意要点 (0)