建站幫助

誠信合作, 高質專業!

Linux系統基線加固設置:降低Phpcms程序底層環境風險

2019-07-13 15:31:59 瀏覽 我要評論

最近和大咖聊天,從互聯網安全聊到服務器運維、寶塔BT面板的爆發,感嘆網絡環境變遷,感嘆人事變化,感嘆時光飛逝,多愁善感的夏天,今天CMSYOU在這里與大家分享怎么樣配置Linux系統基線加固降低Phpcms程序底層環境風險。

不再提之前做網站要兼容IE6、IE8,而今PC站能兼容IE9已經不錯;也不再提想當初建站大環境用WAMP、XAMPP或者LNMP、WDCP,而今BT面板風靡一時、出一個安防插件都能賺一通;也不提2010年我們開始CMSYOU團隊時Phpcms時代的鼎盛,而今Phpcms已經足夠邊沿、而CMSYOU一直還在堅持CMS二次開發。

今天CMSYOU分享的一些Linux系統基線加固設置源自阿里云安防平臺,網站運維、安防設置、SEO排名這些細分都大有文章可做,研究透都足夠站穩腳。

1、Linux設置密碼失效時間

設置密碼失效時間,強制定期修改密碼,減少密碼被泄漏和猜測風險,使用非密碼登陸方式(如密鑰對)請忽略此項。

加固設置:

使用非密碼登陸方式如密鑰對,請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間,如:

PASS_MAX_DAYS 90

需同時執行命令設置root密碼失效時間:

chage --maxdays 90 root

2、Linux設置密碼修改最小間隔時間

設置密碼修改最小間隔時間,限制密碼更改過于頻繁,具體修改:

在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7:

PASS_MIN_DAYS 7

需同時執行命令為root用戶設置:

chage --mindays 7 root

3、設置Linux密碼復雜度檢查

檢查密碼長度和密碼是否使用多種字符類型,編輯/etc/security/pwquality.conf,把minlen(密碼最小長度)設置為9-32位,把minclass(至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類)設置為3或4。如:

minlen=10

minclass=3

4、檢查Linux密碼重用是否受限制

強制用戶不重用最近使用的密碼,降低密碼猜測攻擊風險,在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數為5-24之間,原來的內容不用更改,只在末尾加了remember=5。

5、Linux設置SSHD強制使用V2安全協議

SSHD強制使用V2安全協議,具體編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數:

Protocol 2

6、Linux設置SSH空閑超時退出時間

設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險,編輯/etc/ssh/sshd_config,將ClientAliveInterval 設置為300到900,即5-15分鐘,將ClientAliveCountMax設置為0-3之間。

ClientAliveInterval 600

ClientAliveCountMax 2

7、Linux確保SSH MaxAuthTries設置為3到6之間

設置較低的Max AuthTrimes參數將降低SSH服務器被暴力攻擊成功的風險,在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#,設置最大密碼嘗試失敗次數3-6,建議為4:

MaxAuthTries 4

8、設置Linux用戶權限配置文件的權限

設置用戶權限配置文件的權限,執行以下5條命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow

chmod 0644 /etc/group

chmod 0644 /etc/passwd

chmod 0400 /etc/shadow

chmod 0400 /etc/gshadow

以上是CMSYOU根據阿里云平臺和一些Linux經驗設置提要出來的Linux系統基線加固設置,確保好底層環境安全,才能從根本上降低Phpcms程序底層環境風險。當然自身程序的安全性也比較重要,大家可以參考Phpcms v9安全漏洞補丁修補文件不斷更新

我要收藏
點個贊吧

相關閱讀

本月熱門

精選推薦

在線客服

掃一掃,關注我們

掃一掃,關注我們
百人牛牛经验分享