比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
在CentOS或RHEL上如何为LAMP服务器保驾护航
关键字：CentOS LAMP RHEL
　　LAMP是一套软件架构，包括这几大部分：(作为基础层的)，Apache(“位于操作系统之上”的网站)，(或MariaDB，作为关系系统)，最后是PHP(这种服务器端脚本语言用来处理和显示在中的信息)。
　　我们在本文中假设这套架构的每个部分都已经搭建并运行起来，因而专门着重介绍为一台或多台LAMP服务器保驾护航。不过必须要强调的是，服务器端安全是个庞大繁杂的课题，因而别指望仅仅用一篇文章就能充分而全面地加以论述。
　　我们在本文中将探讨为LAMP软件架构的每个部分保驾护航所要做的基本事项。
　　确保Linux安全
　　你可能想通过来管理自己的CentOS服务器，那就应该考虑下面这些小贴士：通过编辑/etc/ssh/sshd_config配置文件，确保安全地远程访问服务器。
　　1)只要有可能，尽量使用基于密钥的验证远程登录到服务器，而不是使用基本的验证机制(用户名和密码)。我们假设你已经在客户机上建立了密钥对和用户名，并拷贝到服务器上。
　　PasswordAuthentication no
　　RSAAuthentication yes
　　PubkeyAuthentication yes
　　2)更改sshd将侦听的端口。建议使用高于1024的端口：
　　Port XXXX
　　3)只允许协议版本2：
　　Protocol 2
　　4)配置验证超时，不允许root登录，并且限制哪些用户可以通过ssh登录：
　　LoginGraceTime 2m
　　PermitRootLogin no
　　AllowUsers gacanepa
　　5)只允许特定的主机(及/或特定的网络)通过ssh登录：
　　在/etc/hosts.deny文件中：
　　sshd: ALL
　　在/etc/hosts.allow文件中：
　　sshd: XXX.YYY.ZZZ. AAA.BBB.CCC.DDD
　　其中XXX.YYY.ZZZ.代表网络地址的头3个8位位组，而AAA.BBB.CCC.DDD是个。有了这种设置后，只有来自网络XXX.YYY.ZZZ.0/24的主机和主机AAA.BBB.CCC.DDD才可以通过ssh进行连接。其他的所有主机还没有进入到登录提示符就被断开，会收到类似这样的错误信息：
　　(别忘了重启sshd后台程序让这些变更内容生效：service sshd restart)。
　　我们必须要强调的是，说到阻止访问你服务器的入站连接，这种方法快捷又简单，不过有点原始。想获得进一步的定制性、扩展性和灵活性，应该考虑使用普通iptables及/或fail2ban。
　　确保Apache安全
　　1)确保运行Apache网站用户无法访问外壳：
　　# grep -i apache /etc/passwd
　　要是用户apache有默认外壳(比如/bin/sh)，我们必须将它更改成/bin/false或/sbin/nologin：
　　# usermod -s /sbin/nologin apache
　　下列建议(2到5)针对/etc/httpd/conf/httpd.conf文件：
　　2)禁止目录列表：如果目录里面没有index.html，这将防止显示该目录的内容。
　　删除Options指令中的单词Indexes：
　　# Options指令既复杂又重要。请参阅
　　# http://httpd.apache.org/docs/2.2/mod/core.html#options
　　# 了解更多信息。
　　# Options Indexes FollowSymLinks
　　应显示为：
　　Options None
　　此外，你需要确保目录和虚拟主机的设置并没有覆盖这个全局配置。
　　请注意上述这个例子，如果我们检查设置、查找/var/www/icons目录，就会看到“Indexes MultiViews FollowSymLinks”应该被更改成了“None”。
　　更改前：
　　Options Indexes MultiViews FollowSymLinks
　　AllowOverride None
　　Order allow,deny
　　Allow from all
　　更改后：
　　Options None
　　AllowOverride None
　　Order allow,deny
　　Allow from all
　　3)隐藏Apache版本，并隐藏出错页面(比如Not Found和Forbidden页面)中的/操作系统信息。
　　ServerTokens Prod # 这意味着http响应头只返回“Apache”，而不返回版本号
　　ServerSignature Off # 操作系统起来
　　4)通过注释掉声明不需要模块的对应行，禁用那些模块：
　　小提示：如果目录列表中没有index.html文件，禁用autoindex_module是隐藏目录列表的另一个方法。
　　5)限制HTTP请求大小(请求主体和请求头)，并设置连接超时：
　　想了解更多指令以及设置指令方面的说明，请参阅Apache文档(http://httpd.apache.org/docs/)。
　　确保MySQL服务器安全
　　我们首先运行mysql-server软件包随带的mysql__installation脚本。
　　1)如果我们在安装过程中没有为MySQL服务器设置root密码，现在可以设置root密码了，另外要记住：这在生产环境中必不可少。
　　继续这个过程：
　　2)删除匿名用户：
　　3)只允许root从本地主机来连接：
　　4)删除名为test的默认数据库：
　　5)让变更内容生效：
　　6)下一步，我们将编辑/f文件中的一些变量：
　　[mysqld]
　　bind-=127.0.0.1 # MySQL将只接受来自本地主机的连接
　　local-infile=0 # Disable direct filesystem log=/var/log/mysqld.log # 启用日志文件以留意恶意活动
　　别忘了使用‘service mysqld restart’，重启MySQL服务器。
　　现在，说到日常数据库管理，你会发现下列建议很有用：
　　•要是由于某个原因我们需要远程管理数据库，我们可以首先通过ssh连接到服务器，本地执行必要的查询和管理任务，以实现远程管理。
　　•我们之后可能需要启用直接访问文件系统的功能，比如说为了需要将文件批量导入到数据库中。
　　•保存日志不像上面两点来得重要，但许多日志对于为数据库排查故障及/或留意不熟悉的活动大有帮助。
　　•千万不要以明文格式存储敏感信息，比如密码、信用卡号、银行PIN等等。可以考虑使用散列函数来加密这些信息。
　　•确保针对特定应用程序的数据库只能由该应用程序为此创建的相应用户访问：
　　想调整MySQL用户的访问权限，请使用这些指令。
　　首先，检索来自用户表的用户列表：
　　gacanepa@centos:~$ mysql -u root -p
　　Enter password: [Your root password here]
　　mysql& SELECT User,Host FROM mysql.
　　确保每个用户只能访问它所需要的数据库，并确保每个用户只有最基本的权限。在下面这个示例中，我们将检查用户db_usuario的权限：
　　mysql& SHOW GRANTS FOR 'db_usuario'@'localhost';
　　你随后可以根据需要撤销权限和访问权。
　　确保PHP安全
　　由于本文旨在为LAMP架构的几个部分保驾护航，我们在编程方面不会深入介绍。我们假设我们的Web应用程序很安全，因为开发人员已不怕麻烦地确保没有留下为跨站脚本攻击(XSS)或等常见攻击可趁之机的任何安全漏洞。
　　1) 禁用不必要的模块：
　　我们可以使用下面这个命令：php -m，显示当前编译模块列表：
　　然后禁用不需要的那些模块，为此只要删除或更名/etc/php.d目录中的相应文件。
　　比如说，由于自PHP v5.5.0起mysql扩展部分已被废弃(将来会被删除)，我们需要禁用它：
　　# php -m | grep mysql
　　# mv /etc/php.d/mysql.ini /etc/php.d/mysql.ini.disabled
　　2) 隐藏PHP版本信息：
　　# echo "expose_php=off" && /etc/php.d/security.ini [or modify the security.ini file if it already exists]
　　3)将open_basedir设置成几个特定的目录(在php.ini中)，目的是为了限制对底层文件系统的访问：
　　4)禁用远程代码/命令执行以及容易被利用的函数，比如exec()、system()、passthru()和eval()等函数(在php.ini)中：
　　allow_url_fopen = Off
　　allow_url_include = Off
　　disable_functions = "exec, system, passthru, eval"
　　结束语
　　1)将软件包更新到最新版本(比较下列命令的输出和‘yum info [package]’的输出)：
　　下列命令返回Apache、MySQL和PHP的当前版本：
　　# httpd -v
　　# mysql -V (capital V)
　　# php -v
　　然后，‘yum update [package]’可用于更新软件包，以便拥有最新的安全补丁。
　　2) 确保配置文件只能被root帐户写入：
　　# ls -l /etc/httpd/conf/httpd.conf
　　# ls -l /f
　　# ls -l /etc/php.ini /etc/php.d/security.ini
　　3)最后，如果你有机会的话，在不同的物理机或虚拟机中(通过来保护这些机器之间的联系)，运行这些服务(网站服务器、数据库服务器和器)，那样万一某一项服务受到了危及，攻击者也无法立即访问其他服务。如果真出现攻击者能立即访问其他服务这种情况，就得改动本文中讨论的一些配置。请注意：有多种可以用来增强LAMP服务器的安全性，本文介绍的仅仅是其中之一。
[ 责任编辑：小石潭记 ]
一种新的经济体系正在登上世界舞…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte热门游戏：
【导读】LOL阿卡丽的神秘商店暂时关闭，阿卡丽的神秘商店第二期活动与7月29日开始，但是官网公告LOL阿卡丽的神秘商店暂时关闭，那么原因什么呢，再次开启是什么时候，下面91游戏网小编就来告诉大家！阿卡丽的神秘商店暂时关闭原因：由于阿卡丽的神秘商店出现BUG，需要暂时关闭。我们的工程师正在紧急修复中。阿卡丽的神秘商店再次开放时间：再次开放时间预计为8月1日1：00。官方公告：
LOL阿卡丽的神秘商店暂时关闭原因
热门游戏专题
猜你喜欢的游戏
<a href="/game/1232.html" target="_blank" title="红色警戒2尤里的复仇红色警戒2尤里的复仇科技讯-中国第一科技门户，报道最新科技新闻
在500彩票网宣布暂停所有彩票销售后，周一早盘该股票被被纽交所临时...
游族网络昨晚发布公告，拟用发行股份以及支付现金的方式收购广州掌...
来到马云的地头，刚刚抢走&首富&头衔的王健林自然要面对外界对于...
据国外媒体援引知情人士消息称，中国本地生活信息及消费点评平台大...
原定于北京时间昨晚在纳斯达克上市的窝窝团再度推迟了上市时间，窝...
52岁的新东方创始人俞敏洪去年底再度创业，和投行家盛希泰一起，创立了一家天使...
近日&亚布力中国企业家论坛第十五届年会&在黑龙江亚布力召开，中国银监会前主...
近日在&2015创投极客论坛&上，真格基金创始人徐小平发表演讲，他表示创业的基...
近日外媒Carwow制作了一组苹果电动车iCar的概念图...Copyright &
AHgame. 安游在线 版权所有 联系方式：QQ 1104747绿色免费汉化软件之家,用户体验最好的软件下载基地!
当前位置： &
lol阿卡丽的神秘商店活动网址 皮肤超低折扣等你买
lol阿卡丽的神秘商店活动网址 皮肤超低折扣等你买
　　lol阿卡丽的神秘商店活动开放了，之前就有消息说这个神秘商店要开启呢，现在终于是出来了，让大家等了许久，下面我们就一起来看看这个神秘商店里到底是个什么情况。
&　　lol阿卡丽的神秘商店第二期已经上线了哦！详情请看：
　　阿卡丽的神秘商店开启时间：日 - 日
　　活动内容：
　　位玩家在神秘商店都有1次抽折扣购买指定道具的机会，试试你的运气吧!
　　一、限定皮肤
　　二、指定皮肤超低折扣
　　三、活动规则
　　1 每位召唤师拥有一次抽折扣的机会，使用钥匙获得额外一次抽折扣的机会。
　　2 每位召唤师每个英雄的皮肤只能选择一款皮肤购买，限定皮肤只能选择1款购买，经验卡最多购买10张
　　3 召唤师们可以自由选择大区发放，但是不可赠送给他人。
　　4 在法律允许的范围内，TX公司拥有对此活动的解释权。
　　lol阿卡丽的神秘商店活动网址：
绿茶小编猜你还想看：
上一篇文章：
下一篇文章：
网友评论已有1条评论，
热门应用推荐