阿七
级别: 未验证会员
精华:
0
发帖: 909
威望: 0 点
金钱: 2161 RMB
贡献值: 0 点
在线时间:512(小时)
注册时间:2006-03-29
最后登录:2008-08-07
|
FreeBSD下构建安全的Web服务器(3)
(6) 控制数据库访问权限 对于使用php脚本来进行交互,最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限,这样就很好避免了数据库用户名和密码被黑客查看后最小损失。 比如下面我们创建一个数据库为db1,同时建立一个用户test1能够访问该数据库。 mysql> create database db1; mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by ’admindb’; 以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop操作权限。 (7) 限制一般用户浏览其他用户数据库 如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。 (8) 忘记mysql密码的解决办法 如果不慎忘记了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &),这样我们就可以直接登陆MySQL服务器,然后再修改root用户的口令,重启MySQL就可以用新口令登陆了。 (9) 数据库文件的安全 我们默认的mysql是安装在/usr/local/mysql目录下的,那么对应的数据库文件就是在/usr/local/mysql/var目录下,那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问。 我们修改该目录的所属用户和组是mysql,同时改变访问权限: # chown -R mysql.mysql /usr/local/mysql/var # chmod -R go-rwx /usr/local/mysql/var (10) 删除历史记录 执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读,那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码。 另外这两个文件我们也应该不让它记录我们的操作,以防万一。 # rm .bash_history .mysql_history # ln -s /dev/null .bash_history # ln -s /dev/null .mysql_history (11) 其他 另外还可以考虑使用chroot等方式来控制mysql的运行目录,更好的控制权限,具体可以参考相关文章。
4. vsFTPd安全设置 vsFTPd是一款非常著名的ftp daemon程序,目前包括Redhat.com在内很多大公司都在使用,它是一款非常安全的程序,因为它的名字就叫:Very Secure FTP Daemon (非常安全的FTP服务器)。 vsftpd设置选项比较多,涉及方方面面,我们下面主要是针对安全方面进行设置。 目前我们的需求就是使用系统帐户同时也作为是我们的FTP帐户来进行我们文件的管理,目前假设我只需要一个帐户来更新我的网站,并且我不希望该帐户能够登陆我们的系统,比如我们的网站的目录是在/usr/www下面,那么我们新建一个用户ftp,它的主目录是/usr/www,并且它的shell是/usr/sbin/nologin,就是没有shell,防止该用户通过ssh等登陆到系统。 下面在进行系统详尽的设置,主要就是针对vsftpd的配置文件vsftpd.conf文件的配置。 (1) 禁止匿名用户访问, 我们不需要什么匿名用户,直接禁止掉: anonymous_enable=NO (2) 允许本地用户登陆,因为我们需要使用ftp用户来对我们网站进行管理: local_enable=YES (3) 只允许系统中的ftp用户或者某些指定的用户访问ftp,因为系统中帐户众多,不可能让谁都访问。 打开用户文件列表功能: userlist_enable=YES 只允许用户文件列表中的用户访问ftp: userlist_deny=NO 用户名文件列表路径: userlist_file=/etc/vsftpd.user_list 然后在/etc下建立文件 vsftpd.user_list 文件,一行一个,把用户ftp加进去,同时也可以加上你允许访问的系统帐户名。 (4) 禁止某些用户登陆ftp: pam_service_name=vsftpd 指出VSFTPD进行PAM认证时所使用的PAM配置文件名,默认值是vsftpd,默认PAM配置文件是/etc/pam.d/vsftpd。 /etc/vsftpd.ftpusers VSFTPD禁止列在此文件中的用户登录FTP服务器,用户名是一行一个。这个机制是在/etc/pam.d/vsftpd中默认设置的。 这个功能和(3)里的功能有点类似,他们俩能结合使用,那样就最好了。 (5) 把本地用户锁定在自己的主目录,防止转到其他目录,比如把/etc/passwd给下载了: chroot_local_users=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list 然后在/etc下建立vsftpd.chroot_list文件,里面把我们要限制的本地帐户加进去,一行一个,我们加上ftp,防止它登陆到系统。 (6) 隐藏文件真实的所有用户和组信息,防止黑客拿下ftp后查看更多系统用户信息: hide_ids=YES (7) 取消ls -R命令,节省资源,因为使用该命令,在文件列表很多的时候将浪费大量系统资源: ls_recurse_enable=NO (8) 上传文件的默认权限,设置为022: local_umask=022 如果要覆盖删除等,还要打开: write_enable=YES (9) ftp的banner信息,为了防止黑客获取更多服务器的信息,设置该项: ftpd_banner=banner string 把后面的banner string设为你需要的banner提示信息,为了安全,建议不要暴露关于vsFTPd的任何信息。 另外,如果你的信息比较多的话,可以设置为提示信息是读取一个文件中的信息: banner_file=/directory/vsftpd_banner_file (10) 打开日志功能: xferlog_enable=YES 同时设置日志的目录: xferlog_file=/var/log/vsftpd.log 启用详细的日志记录格式: xferlog_enable=YES (11) 如果打开虚用户功能等,那么建议关闭本地用户登陆: local_enable=NO
vsFTPd还有很多安全设置,毕竟人家的名字就是:Very Secure FTP Daemon,反正它的溢出漏洞什么的是很少的,如果要更安全,建议按照自己的需要设置vsftpd,设置的好,它绝对是最安全的。
5. SSH安全设置 SSH是一个基于SSL的安全连接远程管理的服务程序,主要出现就是为了解决telnet、rlogin、rsh等程序在程序交互过程中存在明文传输易被监听的问题而产生的,目前基本上是推荐使用ssh来代替telnet、rlogin、rsh等远程管理服务。 ssh能够直接在windows平台下通过Secure SSH Client等客户端工具进行连接管理,目前最流行的服务器端就是OpenSSH程序,目前最新版本是OpenSSH4.0版,详细可以参考www.openssh.com网站。 OpenSSH在FreeBSD下已经集成安装了,FreeBSD5.3下的OpenSSH版本是3.8.1,建议ports升级到4.0。
主要的安全配置文件是/etc/ssh/sshd_config文件,我们编辑该文件。 (1) 使用protocol 2代替protocol 1,SSH2更加安全,可以防止攻击者通过修改携带的版本banner来劫持(hijacking)启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替: protocol 2 (2) 合理设置最大连接数量, 防止DOS攻击 MaxStartups 5:50:10 (3)关闭X11forwording ,防止会话劫持 X11Forwarding no
本新闻共2页,当前在第1
|
|
[楼 主]
|
Posted: 2006-04-04 08:34 |
| |