# 程式崩溃时不记录 kern.coredump=0 # lo本地数据流接收和发送空间 net.local.stream.recvspace=65536 net.local.dgram.maxdgram=16384 net.local.dgram.recvspace=65536 # 数据包数据段大小,ADSL为1452。 net.inet.tcp.mssdflt=1460 # 为网络数据连接时提供缓冲 net.inet.tcp.inflight_enable=1 # 数据包数据段最小值,ADSL为1452 net.inet.tcp.minmss=1460 # 本地数据最大数量 net.inet.raw.maxdgram=65536 # 本地数据流接收空间 net.inet.raw.recvspace=65536 #ipfw防火墙动态规则数量,默认为4096,增大该值能够防止某些病毒发送大量TCP连接,导致不能建立正常连接 net.inet.ip.fw.dyn_max=65535 #配置ipf防火墙TCP连接空闲保留时间,默认8640000(120小时) net.inet.ipf.fr_tcpidletimeout=864000 |
三、 服务程式的安全配置
到这里就是本文的重点所在了,我们将花费比较多的文字进行描述,当然,所以描述不一定是很正确的,也希望能够对您有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd,SSH等服务,我们以下进行一一讲解。
1. Apache的安全配置
Apache的核心配置就是在 httpd.conf 里面,我们安装的Apache的目录是在 /usr/local/apache2/ 下,那么我们的配置文档就是在/usr/local/apache2/conf/httpd.conf ,假如您是使用ports等安装的,配置文档应该是在/etc或/usr/local/etc目录下。使用ee或vi打开配置文档:
# ee /usr/local/apache2/conf/httpd.conf
下面我们就要进行比较多的安全配置了,基本的服务、端口、主目录等等配置就不说了,只讲和安全有关的配置。
(1)指定运行Apache服务的用户和组
这是比较重要的,因为权限是继承的,假如运行Apache服务的用户权限太高,那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项,比如我们默认配置如下(去掉了注释信息):
<IfModule !mpm_winnt.c> <IfModule !mpm_netware.c> User nobody Group #-1 </IfModule> </IfModule> |
(2) Apache的日志文档
Apache的日志文档是很重要的,能够发现apache的运行状况和访问情况,对于判断入侵等有重要帮助。他的默认选项是:
# 错误日志存放目录,默认是存放在apache安装目录的logs下
ErrorLog logs/error_log
# 日志记录的级别,级别有debug, info, notice, warn, error, crit等,默认是“warn”级别
LogLevel warn
# 访问日志记录的格式,每一种格式都有不同的内容,根据您的需要进行定制,以获取最多访问信息
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent |
# 使用上面格式的那一种,默认是使用common
CustomLog logs/access_log common
文档格式预定义的格式内容:
%a 远程用户IP %A 本地httpd服务器的ip %f 传送的文档名 %h 远程主机 %m 请求方式 %l identd给出的远程名 %p 连接的httpd端口号 %P 请求的httpd进程 %t 时间 %T 服务请求时间 |
您能够定制自己的日志格式,然后通过CustomLog logs/access_log common来进行调用。
注意,日志文档是由运行Apache的用户进行打开的,要注意该文档的安全,防止被黑客改写或删除。
(3) Apache服务信息显示控制
在配置文档中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的:
ServerSignature On
默认为On,那么将显示任何信息:
我故意访问一个不存在的文档:http://www.target.com/404.html
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
