LMAP安全配置

之前写过pdf发布在linux520,排版不好，很多朋友说看起来不舒服，于是我就写个书面的

首先参考

Securing_&_Hardening_Linux_v1.0

L.A.M.P环境配置文档更新

CentOS下Apache 2.x的安装、优化及安全设置

做完配置，接下来开始入正题

apache方面:

1.修改banner
编译源代码，修改默认的banner

ServerTokens ProductOnly
ServerSignature Off

在apache的源码包中找到ap_release.h将

#define AP_SERVER_BASEPRODUCT “Apache”
修改为
#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/6.0”

os/unix下的os.h文件

#define PLATFORM “Unix”
修改为
#define PLATFORM “Win32“

2.修改默认的http状态响应码404,503等默认页面

3.Apache的访问权限控制

htpasswd -b -c /(存放密码文件路径)/.htpasswd username password

Alias /hack “/var/www/html/hack/”
<Directory “/var/www/html/hack”>
authname “test”
authtype basic
authuserfile /var/www/html/hack/.htpasswd
require user kindle
</Directory>

4.关闭危险指令
清除FollowSymlinks指令
关闭索引目录
Options Indexes FollowSymLinks
关闭CGI执行程序

5.open_basedir 限制目录

用法:php_admin_value open_basedir /var/www

php_admin_value open_basedir 引起的上传文件失败解决方法

将上传文件的临时目录加入到php_admin_value open_basedir后面，最后看起来是这样的：
<VirtualHost *:80>
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
</VirtualHost>
注意：两个目录之间是冒号隔开。
把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录。move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。

6.掌握Apache的Order Allow Deny判断原则
1. 首先判断默认的；
2. 然后判断逗号前的；
3. 最后判断逗号后的；
4. 最终按顺序叠加而得出判断结果。

ex:
apache的php扩展名解析漏洞
<Files ~ ”\.(php.|php3.)”>
Order Allow,Deny
Deny from all
</Files>
apache设置上传目录无执行权限
<Directory “/www/home/upload”>
<Files ~ “.php”>
Order allow,deny
Deny from all
</Files>
</Directory>

7.mod_rewrite重写URL
重写规则的作用范围
1．使用在Apache主配置文件httpd.conf中。
2．使用在httpd.conf里定义的配置中。
3．使用在基本目录的跨越配置文件.htaccess中。

1.url重定向80到443端口
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/?(.*)$ https://www.kindle.com/$1 [L,R]

含义是这样的：为了让用户访问传统的http://转到https://上来，用了一下rewrite规则:
第一句：启动rewrite引擎
第二句：rewrite的条件是访问的服务器端口不是443端口
第三句：这是正则表达式，^是开头，$是结束，/?表示有没有/都可以（0或1个），(.*)是任何数量的任意字符
整句的意思是讲：启动rewrite模块，将所有访问非443端口的请求，url地址内容不变，将http://变成https://

9.Speling模块去除url大小写
确认speling模块存在并已加载

启动speling

<Directory “/usr/local/downloads”>
CheckSpelling .
AllowOverride None
Order allow,deny
Allow from all
</Directory>

8. Limit模块限制IP连接数
下载模块 http://dominia.org/djao/limit/mod_limitipconn-0.04.tar.gz
安装:
tar zxvf mod_limitipconn-0.04.tar.gz
cd mod_limitipconn-0.04
make APXS=/usr/local/apache/bin/apxs   ß—–这里要按你自己的路径设置
make install APXS=/usr/local/apache/bin/apxs ß—–这里要按你自己的路径设置
编辑httpd.conf
添加
全局变量:
< IfModule mod_limitipconn.c >
< Location / >    # 所有虚拟主机的/目录
MaxConnPerIP 3      # 每IP只允许3个并发连接
NoIPLimit image/*   # 对图片不做IP限制
< /Location >
< Location /mp3 >   # 所有主机的/mp3目录
MaxConnPerIP 1          # 每IP只允许一个连接请求
OnlyIPLimit audio/mpeg video     # 该限制只对视频和音频格式的文件
< /Location >
< /IfModule >

9.让apache支持安全HTTPS协议
yum -y install mod_ssl
cd /etc/httpd/conf     进入HTTP服务器配置文件所在目录
rm -rf ssl.*/server.*   删除默认或残留的服务器证书相关文件
rpm -qa |grep openssl
openssl genrsa -out www.kindle.com.key 1024 建立服务器密钥
openssl req -new –key www.kindle.com.key -out www.kindle.com.csr 建立服务器公钥
openssl x509 -req -days 365 -in www.kindle.com.csr -signkey www.kindle.com.key -out www.kindle.com.crt   建立服务器证书
/etc/rc.d/init.d/httpd restart  重启服务
netstat -ntpl |grep 443

可以到http://www.startssl.com获取合法证书(免费)

10.安装配置mod_security
下载：http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz

http://fedoranews.org/jorge/mod_security/mod_security.conf

安装：下载到/opt/soft目录下。
# tar –zxvf modsecurity-1.8.7.tar.gz
# cd modsecurity-1.8.7
#cd apache2
# /opt/apache/bin/ apxs -cia mod_security.c
#copy mod_security.conf /opt/apache/conf
配置：
在/opt/apache/conf/httpd.conf中添加下面一行：
Include conf/mod_security.conf
/opt/apache/bin/apachectl stop
/opt/apache/bin/apachectl startssl
更详细的mod_security的配置

http://www.modsecurity.org/documentation/modsecurity-apache/1.9.3/html-multipage/index.html

Php方面:

1.打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd但是默认的php.ini是没有打开安全模式的，我们把它打开：safe_mode = on
当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置为：safe_mode_gid = off
如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。
2.安全模式下执行程序主目录
如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录:safe_mode_exec_dir = D:/usr/bin
一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：safe_mode_exec_dir = D:/tmp/cmd
但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：
safe_mode_exec_dir = D:/usr/www

3.安全模式下包含文件
如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

4.控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问.不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：
open_basedir = /var/www/html

5.关闭危险函数
如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作
disable_functions = phpinfo,exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。

注:disable_classes可以禁用某些类，如果有多个用逗号分隔类名

6.关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

7.关闭注册全局变量
在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。

8.打?A