一、Nginx加固

隐藏X-Powered-By头和开启日志：在nginx配置文件的 http 段增加或修改为

proxy_hide_header X-Powered-By;
proxy_hide_header Server;
access_log logs/access_oa.log main;

隐藏Nginx服务的Banner：
Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态： nginx配置文件的server栏目下，配置server_tokens项 server_tokens off;

二、MySQL加固

3306改为3506 和禁用local-infile选项：在/etc/my.cnf 的 mysqld 段添加
port=3506
local-infile=0

确保配置了log-error选项：
编辑Mysql配置文件/etc/my.cnf，在mysqld_safe 段落中配置log-error参数，<log_path>代表存放日志文件路径，如：/var/log/mysqld.log，并重启mysql服务：
log-error=<log_path>

禁用symbolic-links选项：
编辑Mysql配置文件/etc/my.cnf，在mysqld 段落中配置symbolic-links=0，5.6及以上版本应该配置为skip_symbolic_links=yes，并重启mysql服务。

三、CentOS加固

1、强制用户不重用最近使用的密码，降低密码猜测攻击风险

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间，原来的内容不用更改，只在末尾加了remember=5。

2、检查密码长度和密码是否使用多种字符类型

编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so 这一行。增加配置minlen（密码最小长度）设置为9-32位，minclass（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。如
password requisite pam_cracklib.so try_first_pass retry=3 minlen=11 minclass=3

3、设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

编辑/etc/ssh/sshd_config，将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600
ClientAliveCountMax 2

4、设置密码失效时间

使用非密码登陆方式如密钥对，请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间，如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间：
chage --maxdays 90 root

5、确保SSH MaxAuthTries设置为3到6之间

在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#，设置最大密码尝试失败次数3-6，建议为4：
MaxAuthTries 4

6、确保密码到期警告天数为7或更多

在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间，建议为7：
PASS_WARN_AGE 7
同时执行命令使root用户设置生效：
chage --warndays 7 root

7、设置密码修改最小间隔时间，限制密码更改过于频繁

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7：
PASS_MIN_DAYS 7
需同时执行命令为root用户设置：
chage --mindays 7 root

8、禁止SSH空密码用户登录

编辑文件/etc/ssh/sshd_config，将PermitEmptyPasswords配置为no:
PermitEmptyPasswords no

四、Tomcat加固

1、tomcat7需要升级到7.0.100及以上
2、避免使用root用户运行，tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户：使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者，如chown -R tomcat:tomcat /usr/local/tomcat
3、在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点：<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>
autoDeploy 设置为 false
4、在webapps目录下创建error.jsp，定义自定义错误信息
5、限制服务器平台信息泄漏：进入Tomcat安装主目录的lib目录下，比如 cd /usr/local/tomcat7/lib ，将 catalina.jar 中的 org/apache/catalina/util/ServerInfo.properties，修改文件ServerInfo.properties中的server.info和server.number的值，如分别改为：Apache/11.0.92、11.0.92.0 ，重启Tomcat服务

6、Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录，存在极大安全风险，建议移除：请删除Tomcat示例程序和目录、管理控制台等，即从Tomcat根目录的webapps目录，移出或删除docs、examples、host-manager、manager目录。

7、自启动
把tomcat运行需要用到的目录的所有者都改为tomcat
chown -R tomcat:tomcat /data/logs
修改自启动
vi /etc/rc.d/rc.local 添加如下内容
su - tomcat -c "/home/test/tomcat-8080/bin/startup.sh"

本文内容到此结束，更多内容可关注公众号和个人微信号：

服务器安全加固措施总结相关推荐

蓝昭餐饮管理系统服务器无法连接,服务器安全加固操作指南.docx
服务器安全加固操作指南网络通信安全管理员培训 WEB安全加固操作指南陕西邮电职业技术学院培训中心二零一二年五月 1.Windows server2003 系统力口固??.7 TOC \o & ...
Linux 服务器安全加固 10条建议
作者:研究僧链接:https://cloud.tencent.com/developer/article/1623140 以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍, ...
服务器系统加固经验分享
近期有很多朋友问我,私有服务器,云服务器,各种业务系统服务器得安全怎么做?刚好最近了解到MCK主机加固解决方案,特给大家分享一下,欢迎大家与我讨论. 目前现状无论是中小企业还是大型企事业单位,均有 ...
[转]WINDOWS服务器安全加固实战（WINDOWS SERVER 2008 R2和WINDOWS SERVER 2012）
主机安全启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙.2012可能也是这样的,不过这个一定要检查! 补丁更新启用windows更新服务,设置为自动更新状态, ...
服务器基线加固脚本_安全服务之安全基线及加固（一）Windows篇
一个热爱分享的公众号和一群热爱这个行业的作者们. 此文章为连载文章 0x01 前言安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊.应急响应嘛.....实际上正式一点的企业对 ...
服务器安全加固三件套
经过日志分析,发现该服务器在4月1日起共有40300个远程登录记录,其中39940个均为密码爆破攻击. 其中,最早的登录正常为4月1日凌晨1点. 用户反馈:"嗯,差不多这个时间,我记得4月2 ...
服务器基线加固脚本_一种基于WebLogic的安全基线加固方法与流程
本发明涉及一种安全基线加固方法,尤其涉及一种基于weblogic的安全基线加固方法. 背景技术: weblogic是一个基于javaee架构的中间件,用于开发.集成.部署和管理大型分布式web应用.网 ...
交通行业服务器操作系统加固报价,加固清单报价实例
等级: 文件 114KB 格式 xls 内容简介 [广西]水库除险加固工程清单报价实例(全套报表),包括该项目大坝加固工程.施水设施(放水塔及工作桥).机电设备及安装工程.金属结构安装工程清单报价.综 ...
服务器操作系统加固软件,服务器操作系统安全加固软件
服务器操作系统安全加固软件内容精选换一换云耀云服务器的镜像分公共镜像和市场镜像两种.暂不支持使用私有镜像创建云耀云服务器.了解更多公共镜像支持的操作系统版本.市场镜像类型请参考<云耀云服务 ...

服务器安全加固措施总结