打造Linux下超级安全的LAMP服务器

OK，动手
我们假设我们手头上有一个装好的debian woody，并且已经正确设置了了apt源

二话不说，先升级到debian sarge,也就是testing版本，我觉得这个版本还是不错的，因为他的软件比较新，而且有security支持，最主要这个版本的软件列表包含makejail这个软件

首先su到root升级系统并安装apache,php,mysql,gd
更新apt源，我在教育网，所以使用中科大的apt源debian.ustc.edu.cn速度很快
[root@debian /]apt-get update (如图update.jpg)
再更新所有软件包
[root@debian /]apt-get dist-upgrade(如图upgrade.jpg)

[root@debian /]apt-get install apache php4 php4-gd2 php4-mysql mysql-server mysql-client
并且把extension=gd.so和extension=mysql.so加到php.ini中
你的系统就已经装上了apache-1.3.27,php-4.1.2,mysql-4.0.13
这样一个基本的LAMP就起来了，简单吧。
再加一个系统用户，这个用户是我们等会chroot要用的
[root@debian /]adduser --home /chroot/apache --shell /dev/null --no-create-home --system --group chrapax

接着我们编辑httpd.conf文件并做一些修改，删除多余的apache模块并激活php模块

[root@debian /]vi /etc/apache/httpd.conf

注释掉除了mod_access,mod_auth,mod_dir,mod_log_config,mod_mime，mod_alias之外的所有模块
去掉注释LoadModule php4_module /usr/lib/apache/1.3/libphp4.so以支持PHP (如图apache_mod.jpg )

设置ServerAdmin fatb@zzu.edu.cn
设置ServerName secu.zzu.edu.cn
把
下面的Options Indexes Includes FollowSymLinks MultiViews的Indexes去掉,这样避免被别人索引目录
把用户和组改成chrapax
User chrapax
Group chrapax
在下面加上index.php如下

DirectoryIndex index.php index.html index.htm index.shtml index.cgi

默认使用中文字符集
AddDefaultCharset gb2312
加出错重定向，这样当出现下面的错误的时候，用户就会被重顶向到到你指定的页面
ErrorDocument 404 http://secu.zzu.edu.cn/index.php
ErrorDocument 402 http://secu.zzu.edu.cn/index.php
ErrorDocument 403 http://secu.zzu.edu.cn/index.php
ErrorDocument 500 http://secu.zzu.edu.cn/index.php
把signature关掉
ServerSignature Off
假如signature打开的话,当有人访问到一个被禁止或者不存在的页面的话，会出现一些错误信息的
这样的信息，不好，去掉他 (如图403.jpg)
假如不需要cgi支持的话，删除
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None
Options ExecCGI -MultiViews
Order allow,deny
Allow from all

这行的注释去掉，因为我们需要PHP支持
把AddType application/x-httpd-php .php
最后把多余的Alias,Directory,Location都去掉，保存退出
OK，apache算是配置完毕，我比较喜欢干净的配置文件，下面的命令可以去掉httpd.conf里#打头的行
[root@debian /]mv httpd.conf httpd.conf.bak
[root@debian /]grep -v '#' httpd.conf.bak > httpd.conf
到此为止，apache配置文件编辑完毕

接着我们开始加固php,我们打开php.ini
[root@debian /]vi /etc/php4/apache/php.ini
首先打开安全模式，打开他的好处就是PHP文件只能访问所有者和PHP文件所有着一样的文件，即使在chroot环境下也无法访问jail中属主不一样的文件，类似于php shell这样的后门就没用武之地了哦，phpshell是很流行的php后门，他可以执行系统命令，就象他的名字一样，和shell很接近(如图phpshell.jpg)
共6页: 上一页 [1] 2 [3] [4] [5] [6] 下一页

评论加载中…