centos lamp安全设置怎样做

在CentOS上设置LAMP（Linux, Apache, MySQL, PHP）环境时，安全性是一个重要的考虑因素。以下是一些关键的安全设置步骤和建议：

1. 更新和打补丁

• 定期更新操作系统和软件包，以修复已知的安全漏洞。

  sudo yum update
  

2. 防火墙配置

• 使用 firewalld 或 iptables 配置防火墙规则，限制对服务器的访问，只允许必要的端口对外开放。

  # 使用firewalld
  sudo systemctl start firewalld
  sudo firewall-cmd --set-default-zone=public
  sudo firewall-cmd --add-port=80/tcp --permanent
  sudo firewall-cmd --add-port=443/tcp --permanent
  sudo firewall-cmd --reload
  

  或

  # 使用iptables
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  sudo service iptables save
  sudo service iptables restart
  

3. 禁用root登录

• 通过SSH限制root账户的直接登录，推荐使用普通用户登录后切换到root。

  sudo vi /etc/ssh/sshd_config
  PermitRootLogin no
  

4. SELinux配置

• 启用SELinux可以增加系统的额外安全层，通过配置SELinux策略来限制应用程序的行为。

  sudo getenforce
  sudo sed -i 's/SELINUX=enforcing/SELINUX=permissive/' /etc/selinux/config
  

5. 账户和权限管理

• 禁用不必要的超级用户账户，设置强密码，并定期更新。

  sudo userdel unnecessary_user
  sudo passwd new_password
  

• 删除不必要的默认账户，如 adm, lp, sync 等。

6. PHP配置

• 禁用或删除不必要的PHP模块。

  sudo yum remove php-不必要的模块
  

• 配置 display_errors 为 off，避免泄露敏感信息。

  display_errors = Off
  

7. 服务和端口管理

• 关闭不需要的端口和服务，以减少攻击面。

  sudo systemctl disable unnecessary_service
  

8. 日志监控和审计

• 使用工具如 rsyslog 或 systemd-journald 收集和存储日志，定期检查日志以发现异常活动。

  sudo yum install rsyslog
  sudo systemctl start rsyslog
  

9. 加密通信

• 使用SSL/TLS来加密网络通信，以防止数据泄露和中间人攻击。

  sudo yum install mod_ssl
  sudo vi /etc/httpd/conf.d/ssl.conf
  

10. 定期备份数据

• 定期备份系统和重要数据，以防数据丢失或损坏。

  sudo tar -czvf backup.tar.gz /path/to/backup
  

通过上述措施，可以显著提高CentOS LAMP环境的安全性。请注意，安全设置是一个持续的过程，需要定期审查和更新以应对新的安全威胁。