我要付钱VPS 一个并希望在接下来的几天内推出我的第一个网站。
我担心标准设置中可能存在一些明显的安全漏洞,因此我迫切希望获得一些提示。我唯一知道的就是关闭 PHP 中的错误报告并为 MySQL 创建用户/权限。还有其他类似的东西吗?
我在用着:
- cPanel 和 WHM
- CentOS 5
- PHP
- MySQL
- Google 应用程序作为邮件服务器(所以也许我应该以某种方式禁用内置邮件服务器?!)
答案1
您需要牢记一些安全原则/提示:
关闭不需要的服务
如果不需要某项特定服务,请将其关闭。这样就不用担心了,尤其是安全方面。
遵循最小特权原则
如果某个服务不需要具有超级权限,则只需赋予其所需的权限。例如,如果您的 Web 应用程序不需要删除表,则无需在 MySQL 中启用删除权限。
更新你的服务的安全更新
这非常重要!时不时就会发现安全漏洞。当出现安全问题时,更新应用程序非常重要。
不要使用默认凭据
不要使用它。它们是邪恶的 :) 例如,MySQL 的 root 用户没有密码。创建一个。
备份所有重要内容
备份重建服务器所需的一切,我的意思是一切。此外,定期测试备份。这不仅出于安全原因,也出于业务连续性原因。人们永远不知道何时可能需要备份。
希望这可以帮助!
答案2
如果您可以接受的话,还可以尝试强制绑定 mysql 监听到 localhost(Listen 指令),或者更好的是,如果可能的话,删除对 mysql 的网络支持。
答案3
始终、始终、始终使用内置包管理器来安装软件 - 在 Centos 中,这意味着 Yum -http://wiki.centos.org/PackageManagement/Yum。这确保了有一种集中的方式来跟踪和安装安全更新。在生产服务器上从源代码安装软件是一场安全噩梦,因为您必须手动跟踪和手动安装所有软件的安全更新。
确保你有一个防火墙,它只允许你需要的服务入站 - 你可以从http://www.larted.org.uk/~dom/computing/code/iptfirewall
应该通过禁用下列尽可能多的不需要的功能来强化 PHP:http://www.eukhost.com/forums/f42/disabling-dangerous-php-functions-6020/
还要确保 PHP 设置为记录错误,而不是显示错误。
答案4
我建议阅读适用于 Red Hat Enterprise Linux 5 的 NSA 操作系统指南. 适用于 RHEL 的也适用于 CentOS。