棗樹荒頭條號有話要說:
①:之前發了幾篇文章,有加固的也有一些滲透的。發的兩篇關於dvwa的文章感覺沒有其它文章那麼受歡迎,可能有一部分人沒了解過,其實dvwa是一個滲透測試平臺,包含很多漏洞供來實戰,後續也會補全它的其它漏洞實戰。
②:前幾天發的黑客路線圖那篇文章,挺受歡迎,看來大家都很喜歡黑客。路線圖大概列出來了,目標總要一步一步來,所以在接下來的幾個月時間先發基礎的文章, 大概包括網絡協議,滲透常見的漏洞以及常用的系統服務器類的安全加固。隨後再安排進階。
③:謝謝大家對棗樹荒頭條號的支持,以後會和大家一塊努力進步。如果喜歡我,大家來走一波關注哈。耽誤了大家兩分鐘,好了,正文開始。
--------------------------------------------------------------------------------------------------------------------------------
1,賬號安全。2,權限管理。3,安全日誌。4,刪除默認實例程序。5,錯誤頁面。6,禁止目錄瀏覽。7,隱藏版本號。8,禁止訪問外部文件。9,打補丁。10,拒絕服務。11,備份配置文件。
1,賬號安全
已指定的用戶去運行apache,避免使用root等管理員賬戶。打開配置文件httpd.conf配置user和group,如下圖:
2,權限管理
配置文件和日誌文件很重要,為了安全,應該設有一定的權限,避免未授權就進行訪問。window下文件權限設置很簡單,右鍵屬性設置即可。linux設置如下:
chmod 600 /etc/httpd/conf/httpd.conf設置配置文件只有屬主可讀寫,其它用戶無權限。
chmod 644 /var/log/httpd/*.log設置日誌文件屬主可讀寫,其它用戶只能讀。
3,安全日誌
apapche的日誌配置和nginx的很像,打開httpd.conf文件,配置如下圖(已賦解釋):
4,刪除默認實例程序
刪除缺省安裝的無用文件,具體如下:
①:刪除html文件,位置為apache2/htdocs下的默認目錄和文件。
②:刪除cgi腳本,位置為apache2/cgi-bin目錄下所有文件。
③:刪除apache說明文件,位置為apache2/manual目錄。
5,錯誤頁面
apache默認的錯誤頁面會洩露系統的引用及敏感信息,打開http.conf配置文件,舉一個400的例子,其它格式都如此:
配置後,要在對應的位置建立錯誤頁面。
6,禁止目錄瀏覽
禁止當apache目錄沒有默認首頁時,顯示目錄文件,編輯配置文件httpd.conf,如下圖:
找到htdocs就是網頁的根目錄,看options後是否有indexes,如果有則刪除。
7.隱藏版本號
修改apache的配置文件httpd.conf,看是否有如下配置,如果沒有則添加:
8,禁止訪問外部文件
配置很簡單,打開http.conf配置文件,找到<Directory />,將內容改為如下圖:
9.打補丁
在不影響業務的情況下,建議升級apache版本,apache會隨著版本的更新,而更新一下漏洞補丁,或加一些安全機制,可以訪問apache官網查看最新版本。升級時,也可以想在測試的系統運行,如果沒問題在升級線上系統。
10,拒絕服務
如果存在字符交互,則一定時間內沒有操作,就應該退出賬戶,配置httpd.conf文件如下(十分鐘為準):
11,備份配置文件
有時候可能會有非法操作或誤刪的情況,然後導致服務器崩潰,所以經常對配置文件備份是一個不錯的選擇。
--------------------------------------------------------------------------------------------------------------------------------------
tips:棗樹荒頭條號不定期分享關於網站滲透,信息安全,網絡安全,網絡運維等方面的知識。喜歡的請點一波關注。