服務器安全加固措施總結

一、Nginx加固

隱藏X-Powered-By頭和開啓日誌：在nginx配置文件的 http 段增加或修改爲

proxy_hide_header X-Powered-By;
proxy_hide_header Server;
access_log logs/access_oa.log main;

隱藏Nginx服務的Banner：
Nginx後端服務指定的Header隱藏狀態隱藏Nginx服務Banner的狀態： nginx配置文件的server欄目下，配置server_tokens項 server_tokens off;

二、MySQL加固

3306改爲3506 和禁用local-infile選項： 在/etc/my.cnf 的 mysqld 段添加
port=3506
local-infile=0

確保配置了log-error選項：
編輯Mysql配置文件/etc/my.cnf，在mysqld_safe 段落中配置log-error參數，<log_path>代表存放日誌文件路徑，如：/var/log/mysqld.log，並重啓mysql服務：
log-error=<log_path>

禁用symbolic-links選項：
編輯Mysql配置文件/etc/my.cnf，在mysqld 段落中配置symbolic-links=0，5.6及以上版本應該配置爲skip_symbolic_links=yes，並重啓mysql服務。

三、CentOS加固

1、強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風險

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數爲5-24之間，原來的內容不用更改，只在末尾加了remember=5。

2、檢查密碼長度和密碼是否使用多種字符類型

編輯/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so 這一行。增加配置minlen（密碼最小長度）設置爲9-32位，minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置爲3或4。如
password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=11 minclass=3

3、設置SSH空閒超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險

編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置爲300到900，即5-15分鐘，將ClientAliveCountMax設置爲0-3之間。
ClientAliveInterval 600
ClientAliveCountMax 2

4、設置密碼失效時間

使用非密碼登陸方式如密鑰對，請忽略此項。在 /etc/login.defs中將 PASS_MAX_DAYS 參數設置爲 60-180之間，如:
PASS_MAX_DAYS 90
需同時執行命令設置root密碼失效時間：
chage --maxdays 90 root

5、確保SSH MaxAuthTries設置爲3到6之間

在/etc/ssh/sshd_config中取消MaxAuthTries註釋符號#，設置最大密碼嘗試失敗次數3-6，建議爲4：
MaxAuthTries 4

6、確保密碼到期警告天數爲7或更多

在 /etc/login.defs 中將 PASS_WARN_AGE 參數設置爲7-14之間，建議爲7：
PASS_WARN_AGE 7
同時執行命令使root用戶設置生效：
chage --warndays 7 root

7、設置密碼修改最小間隔時間，限制密碼更改過於頻繁

在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲7-14之間,建議爲7：
PASS_MIN_DAYS 7
需同時執行命令爲root用戶設置：
chage --mindays 7 root

8、禁止SSH空密碼用戶登錄

編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置爲no:
PermitEmptyPasswords no

四、Tomcat加固

1、tomcat7需要升級到7.0.100及以上
2、避免使用root用戶運行，tomcat目錄(catalina.home、 catalina.base目錄)所有者應改爲非root的運行用戶：使用chown -R <Tomcat啓動用戶所屬組>:<Tomcat啓動用戶> <Tomcat目錄>修改tomcat目錄文件所有者，如chown -R tomcat:tomcat /usr/local/tomcat
3、在Tomcat根目錄下的conf/web.xml文件裏面的web-app添加子節點：<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>
autoDeploy 設置爲 false
4、在webapps目錄下創建error.jsp，定義自定義錯誤信息
5、限制服務器平臺信息泄漏：進入Tomcat安裝主目錄的lib目錄下，比如 cd /usr/local/tomcat7/lib ，將 catalina.jar 中的 org/apache/catalina/util/ServerInfo.properties，修改文件ServerInfo.properties中的server.info和server.number的值，如分別改爲：Apache/11.0.92、11.0.92.0 ，重啓Tomcat服務

6、Tomcat安裝提供了示例應用程序、文檔和其他可能不用於生產程序及目錄，存在極大安全風險，建議移除：請刪除Tomcat示例程序和目錄、管理控制檯等，即從Tomcat根目錄的webapps目錄，移出或刪除docs、examples、host-manager、manager目錄。

本文內容到此結束，更多內容可關注公衆號和個人微信號：