在LAMP架构下,Web应用安全加固是一个重要的环节,涉及到多个方面的安全措施。以下是一些关键的安全加固措施:
操作系统安全加固
- 设置BIOS密码:防止更改系统启动顺序。
- 设置GRUB启动口令:防止通过编辑GRUB参数修改root密码。
- 增设启动LILO口令:增加系统的安全性。
- 取消普通用户的控制台访问权限。
- 禁止SU用户成为root用户。
- 编辑rc.local文件:隐藏操作系统的版本信息。
Apache服务器安全加固
- 建立专用目录:如ServerRoot、DocumentRoot、ScriptAlias、CustomLog和ErrorLog等。
- 使用专门的用户和用户组:保证Apache服务器的安全。
- 设置服务器文件的访问权限:禁止非法用户读取文件。
- 减少CGI风险:使用Option命令禁止其使用。
- 使用SSL技术:提高网站的安全性能。
PHP安全加固
- 默认的php.ini没有打开安全模式:使用“safe_mode=on”打开PHP的安全模式。
- 限制用户只能访问网站目录:使用open_basedir选项控制PHP脚本只能访问指定的目录。
- 防止黑客获取服务器中PHP版本的信息:关闭PHP版本信息在HTTP头中的泄漏。
- 设置magic_quotes_gpc=On:防止SQL注入攻击。
- 修改root用户口令:删除空口令。
- 删除默认数据库和数据库用户。
- 更改MySQL默认管理员帐号。
- 加密存储密码信息。
- 禁止远程连接数据库。
- 限制连接用户的数量。
- 禁止MySQL对本地文件存取。
- 数据库文件的安全。
- 使用chroot方式来控制MySQL的运行目录。
应用层防护
- 搭建Snort入侵检测系统:能够检测各种不同的攻击方式,对攻击进行实时报警。
- 配置iptables/iptables防火墙:对经过的数据进行非常细致的控制,如防止同步包洪水、防止各种端口扫描以及防止ping洪水攻击等。
- 使用Cacti监控Web服务器:通过snmpget来获取数据,使用RRDtool绘画图形,可以指定每一个用户能查看树状结构、host以及任何一张图。
定期安全审计和监控
- 使用OWASP ASVS进行安全测试:为测试Web应用程序技术安全控制提供了基础,还为开发人员提供了安全开发的要求列表。
- 攻鉴产品进行Web应用安全的防护:通过外部方式持续向目标站点投递Web相关的攻击向量,以测试WAF设备的策略有效性。
通过上述措施,可以有效地加固LAMP架构下的Web应用,提高其安全性,减少潜在的安全风险。
