14、中间件加固

文章目录

  • 什么是中间件
  • Apache加固
    • 防止webshell越权使用
    • 非超级用户权限禁止修改Apache主目录
    • 修改日志级别,记录格式
    • 防止访问网站目录以外的文件
    • 防止使用web直接浏览目录内容
    • 防止通过默认错误回馈泄露敏感信息
    • 合理设置会话时间,防止拒绝服务
    • 避免被针对漏洞,Apache版本号泄露
    • 防止trace方法被恶意利用泄露信息
    • 确保不适用cgi程序的情况下,关闭cgi功能
    • 服务器多个IP时,绑定业务接口IP
    • 禁用put、delete等危险的http方法
    • 防止非法文件绕过合法性检查
    • 禁止php页面对sql注入给予反馈
    • 防止溢出漏洞
  • Nginx加固
    • 避免被针对版本直接使用漏洞
    • 某些目录为运维页面,不要公开访问
    • 敏感目录使用白名单访问
    • 防止通过浏览器直接查看目录内容
    • 制作重定向,防止默认页面存在安全隐患
    • 修改日志格式,便于审计
    • 只允许常用的get和post方法,减少漏洞
    • 减缓被ddos攻击时资源消耗速度
    • 缓解ddos造成的影响
    • 防止通过其他途径使用本网站资源
    • 防止高权限运行nginx进程
    • 防止非法后缀被服务器识别(PHP)
  • Tomcat加固
    • 如果不需要Tomcat控制台(Tomcat默认页面)就关掉
    • 开启日志
    • 避免泄露敏感信息
    • 防止浏览器查看目录内容
    • 禁用不安全的http请求方式
    • 访问来源白名单
    • 缓解ddos攻击带来的过度资源占用
    • 降低被扫描的几率
    • 防止传输信息被截获解读
    • 修补最新的漏洞

什么是中间件

浏览器:firefox浏览器、IE浏览器、safari浏览器、Chrome浏览器等
服务程序:Apache、nginx、IIS、Tomcat等
数据库:MySQL、oracle、Redis等

Apache加固

防止webshell越权使用

14、中间件加固_第1张图片

非超级用户权限禁止修改Apache主目录

14、中间件加固_第2张图片
日志文件如果给了执行权限,那么shell脚本可能会注入到日志文件中被执行。

修改日志级别,记录格式

14、中间件加固_第3张图片

防止访问网站目录以外的文件

14、中间件加固_第4张图片
/目录配置denied拒绝,如果不拒绝就会有目录穿越,然后造成敏感文件泄露

防止使用web直接浏览目录内容

14、中间件加固_第5张图片
防止目录遍历漏洞,配置里不要Indexes

防止通过默认错误回馈泄露敏感信息

14、中间件加固_第6张图片
错误信息可能会泄露有用信息

合理设置会话时间,防止拒绝服务

14、中间件加固_第7张图片
防止DDOS
超时时间10秒,保持连接打开,连接超时15秒

避免被针对漏洞,Apache版本号泄露

14、中间件加固_第8张图片
针对当前中间件的版本是否显示,如果不隐藏,Apache的版本会暴露。

防止trace方法被恶意利用泄露信息

14、中间件加固_第9张图片

确保不适用cgi程序的情况下,关闭cgi功能

14、中间件加固_第10张图片

服务器多个IP时,绑定业务接口IP

14、中间件加固_第11张图片

禁用put、delete等危险的http方法

14、中间件加固_第12张图片

防止非法文件绕过合法性检查

14、中间件加固_第13张图片

禁止php页面对sql注入给予反馈

14、中间件加固_第14张图片
给符号加上转义符

防止溢出漏洞

14、中间件加固_第15张图片
请求包很大的话就可能会溢出。

Nginx加固

避免被针对版本直接使用漏洞

14、中间件加固_第16张图片
隐藏版本信息

某些目录为运维页面,不要公开访问

14、中间件加固_第17张图片

敏感目录使用白名单访问

14、中间件加固_第18张图片
比较敏感的目录,使用白名单。

防止通过浏览器直接查看目录内容

14、中间件加固_第19张图片
防止目录穿越,底裤扒光

制作重定向,防止默认页面存在安全隐患

14、中间件加固_第20张图片

修改日志格式,便于审计

14、中间件加固_第21张图片

只允许常用的get和post方法,减少漏洞

14、中间件加固_第22张图片

减缓被ddos攻击时资源消耗速度

14、中间件加固_第23张图片
rate=20r/s 每个ip每秒不超过20个请求

缓解ddos造成的影响

14、中间件加固_第24张图片

防止通过其他途径使用本网站资源

14、中间件加固_第25张图片
防盗链
valid_referers白名单 192.168.0.1 *.baidu.com来的资源是合法的

防止高权限运行nginx进程

14、中间件加固_第26张图片

防止非法后缀被服务器识别(PHP)

14、中间件加固_第27张图片
只有.php后缀的才解析为php,防止解析漏洞将其他文件解析为php。

Tomcat加固

如果不需要Tomcat控制台(Tomcat默认页面)就关掉

14、中间件加固_第28张图片

开启日志

14、中间件加固_第29张图片
使用common日志格式,resolveHosts 不进行反向解析
但是日志文件会越来越大,硬盘资源会被占用完。如果要开启日志,搜一下自动清理。

避免泄露敏感信息

14、中间件加固_第30张图片
有几个站点,就改几个站点的。

防止浏览器查看目录内容

14、中间件加固_第31张图片

禁用不安全的http请求方式

14、中间件加固_第32张图片
Tomcat有个PUT漏洞

访问来源白名单

14、中间件加固_第33张图片
allow白名单 deny黑名单

缓解ddos攻击带来的过度资源占用

14、中间件加固_第34张图片

降低被扫描的几率

14、中间件加固_第35张图片
修改端口,端口号范围1~65535

防止传输信息被截获解读

14、中间件加固_第36张图片

修补最新的漏洞

访问http://httpd.tomcat.org下载最新稳定版补丁
先看Tomcat版本,再去找对应的补丁。

你可能感兴趣的:(CT安全,中间件,网络安全)