Making Апачи secure on Ubuntu 14.04
I am wanting to host в small сайт at home and have installed Апачи и т.д. like this:
sudo apt-get updatesudo apt-get install taskselsudo tasksel install lamp-server
That all worked and everything is up and running.
Now I am used to working with XAMPP to develop and I did not want to использовал that live туз many references said it was not very secure.
So my question is, now that I have Apache/PHP и MySql installed by the above method; how is the level of security by default?
Is there ways to make it обитал secure and perhaps в check-list or run-down of any changes that might be recommended?
Clarification: the LAMP server would be в live сайт, not one in development.
2 ответа
Я выполняю свои собственные серверы ЛАМПЫ на Ubuntu, подключенной к Интернету, таким образом, я всегда следую тем же инструкциям. Обычно, я проверю следующее:
- В Apache удалите документацию или по крайней мере не представляйте его канавке веб-сервер (путем удаления ссылки
/etc/apache2/conf-enabled/apache2-doc.conf) - В Apache, быть уверенным, что ненужные модули не загружаются. С Ubuntu это сделано путем удаления ссылок в
/etc/apache2/mods-enabled. Каждая точка ссылки в файл в/etc/apache2/mods-availableкаталог, который загружает и настраивает модуль за один раз. - Можно хотеть рассмотреть и включить
/etc/apache2/conf-available/security.conf. Они предлагают некоторые рекомендации по безопасности, которые не активируются по умолчанию: - Запрет доступа к целой файловой системе за исключением каталогов, которые Вы явно позволили бы позже
- изменение баннера сервера для предоставления максимально меньше информации о под управлением программном обеспечении.
- В PHP проверьте, что Вы не печатаете слишком много регистрирующейся информации об экране в случае ошибки (параметры в Обработке ошибок раздела и журналировании
/etc/php4/apache2/php.iniфайл. Комментарии в файле дают большую информацию о том, что предпочтительно, чтобы сделать), Никакая потребность выставить Ваш сервер MySQL Интернету. По умолчанию, в Ubuntu, сервер Mysql слушает только на localhost. Проверить
/etc/mysql/my.cnfв разделе mysqld для параметра связывают адресный. Это должно быть на 127.0.0.1:свяжите адресный = 127.0.0.1
Не устанавливайте больше сервисов на этот сервер, чем, в чем Вы нуждаетесь.
- Не забывайте применять обновление, когда они прибудут.
- Не полагайтесь только на конфигурацию сервера ЛАМПЫ только, не забывайте, что также необходимо поместить, запускает приложение PHP, которое может представить некоторые угрозы нарушения безопасности (контроль ввода и весь этот материал, чтобы не вводить SQL-запрос в поле ввода для получения от DB большей информации, которую Вы дали бы сами...),
Это первые вещи на вершине моего ума. Конечно, можно найти более подробное практическое руководство и руководства в Интернете:
Вот то, что я обычно делаю после установки ЛАМПЫ: (for development use, not production)
Отключите apache2 от запуска автоматически:
sudo update-rc.d apache2 disableКогда Вы хотите использовать, можно запустить его:
sudo service apache2 startОтключите mysql от запуска автоматически:
echo "manual" | sudo tee /etc/init/mysql.overrideКогда Вы хотите использовать, можно запустить его:
sudo service mysql startВходящие порты блока 80 и 3306 на брандмауэре для обеспечения ЛАМПЫ от вторжения:
sudo iptables -A INPUT -p tcp --dport 80 -j DROP sudo iptables -A INPUT -p tcp --dport 3306 -j DROP(На самом деле, я блокирую все входящие порты кроме нескольких критических, но безопасность Linux является другой темой!)