lnmp安全加固总结-526互联

LNMP=linux+nginx+mysql+php

#linux安全加固
1.账户安全：定期查看系统账户，删除多余的用户账户和组，限制密码最下长度，审查账户权限等。
2.用户登录安全：可以禁用root登录，连续登录失败多次自动锁定，超时自动退出，使用堡垒机等。
3.服务安全：关闭不需要的服务，修改常用服务端口，加固各种服务配置参数等。
4.文件安全：给予最小访问权限，chattr加固重要文件等。
5.及时安装补丁
6.清除系统安装时的配置信息并隐藏系统信息
7.内核优化：net.ipv4.tcp_syncookies = 1,net.ipv4.tcp_max_orphans = 262114等。

#ngxin安全加固
1.配置日志
2.禁止目录浏览
3.删除指定目录执行权限
4.错误页面重定向
5.隐藏版本信息
6.限制http请求方法
7.限制允许和拒绝特定ip访问
8.限制并发和速度
9.控制超时时间
10.nginx降权
11.配置防盗链
12.补丁更新

#mysql安全加固
1.以普通用户运行mysql
2.用户密码安全：设置复杂密码并定期修改密码
3.数据库授权应配置最小权限
4.开启日志审计功能：二进制日志，错误日志，慢查询日志等。
5.安装最新补丁
6.禁止root远程访问，禁止匿名用户登录
7.设置可信ip访问控制
8.设置最大最小连接数
9.禁止使用--skip-grant-tables选项启动MySQL服务
10.修改默认端口
11.禁用symbolic-links选项
12.确保没有用户配置了通配符主机名
13.删除'test'数据库
14.禁用local-infile选项

#php安全加固
1.信息屏蔽：版本号屏蔽，错误信息屏蔽
2.防止全局变量覆盖
3.使用php的访问限制：文件系统限制，远程访问限制，开启安全模式，禁用危险函数。
4.php中的cookie安全：cookei的httponly，cookie的secure，指定cookie的使用范围。
5.php的安装与升级：尽量减少非必要模块的加载，使用第三方安全扩展。
6.常见漏洞与防护，sql注入漏洞防护，xml注入漏洞防护，php组件漏洞防护，文件包含安全，系统命令注入等。