博客介绍了信息技术领域的安全配置。操作系统方面,修改SSH对外开放端口降低口令爆破风险;Nginx需隐藏Banner信息、禁止上传目录执行PHP脚本;MySQL要为应用创建普通用户并修改监听地址;PHP则要限制脚本访问目录,同时放开/tmp/。
1 操作系统
- 修改SSH对外开放端口,减少口令爆破攻击风险,默认为22
2 Nginx
- 隐藏 Banner 信息:编辑nginx.conf, 在http段中添加
server_tokens off; - 禁止上传目录执行 PHP 脚本:假设上传目录为”/uploads”,配置示例如下:(注:“location ~* ^/upload/.*\.php”必须写在前面!对于location的正则表达式,nginx是按照先后顺序来匹配的;~* 为不区分大小写)
-
server { …. location ~* ^/upload/.*\.php { return 403; } …. location ~ \.php$ { fastcgi_pass *; } }
3 MySQL
- 给应用创建普通数据库用户
- 修改MySQL仅监听本地地址
4 PHP
- 限制 PHP 脚本能够访问的目录,修改 php.ini,添加
open_basedir=/usr/www/:/tmp/,注意要放开/tmp/,否则影响上传等正常功能。
作者:李凌
本文转自【中国信创服务社区】
扫一扫
8877
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
