centos lnmp服务器安全加固

CentOS LNMP服务器安全加固可从系统、服务、网络、监控等多方面入手，以下是关键措施：

• 系统基础安全

  • 定期更新系统补丁：sudo yum update -y。
  • 禁用root远程登录：修改/etc/ssh/sshd_config中PermitRootLogin no，并重启SSH服务。
  • 创建专用服务用户（如webuser），限制关键文件权限（如chown -R webuser:webuser /var/www/html）。
  • 启用SELinux：sudo setenforce 1，并配置安全策略。

• 服务安全配置

  • Nginx：
    • 隐藏版本号：server_tokens off;。
    • 禁用危险HTTP方法：if ($request_method !~ ^(GET|HEAD|POST)$) { return 405; }。
    • 限制上传文件类型和大小，关闭cgi.fix_pathinfo。
  • MySQL：
    • 运行安全脚本：sudo mysql_secure_installation，删除默认账号，限制远程访问IP。
    • 使用强密码，启用skip-name-resolve提升性能。
  • PHP：
    • 禁用高危函数：disable_functions = eval,exec,passthru。
    • 限制文件访问路径：open_basedir = /var/www/html/。

• 网络与访问控制

  • 配置防火墙（如firewalld或iptables）：仅开放HTTP（80）、HTTPS（443）、SSH（22）等必要端口。
  • 禁止IP直接访问数据库，通过内网或SSH隧道连接。

• 日志与监控

  • 启用Nginx、MySQL错误日志，并定期分析异常。
  • 使用工具（如fail2ban）防止暴力破解，监控服务器资源使用情况。

• 数据与备份

  • 定期备份数据库和网站文件，存储至异地安全位置，并测试恢复流程。

参考来源：