Web服务器安全

Web服务器安全 

系统级别

        1.最小化开放服务器的端口，例如纯web的话对外的一般只开放80，443端口;

        2.帐户安全，要使用强密码，定时更改，对用户进行合适限制分配；例如apache运行的用户应该限制为nologin,忌直接使用root运行；

        3.良好的日志记录与管理;

        4.养成良好的使用习惯，例如避免以下操作mysql -uroot -p123345,不要把密码直接明文明显示；

        5.避免使用老去的技术，使用ftp,telnet这些服务，现在系统完全有其替代的产品。

数据库

        1.合理设计数据库，例如保存时间戳字段，应该优先使用整型，而不是varchar;

        2.用户权限，root用户不要用于程序连接，程序连接数据的用户限制合理的限制；一般Web程序权限select,insert,delete,update;

        3.数据库保存目录，权限读写合理控制；

web服务器

        1.运行用户，避免使用root运行;

        2.编译时最小化安装；

        3.监听指定域名的端口;例如只是提供单域名的服务器，在listen时指定xx.com 80;

        4.减少web服务器信息暴露；例如隐藏apache版本，禁止目录浏览等。

PHP脚本

        1.php编译安装时合理选择模块,php.ini里隐藏php版本，避免使用cgi模式运行；

        2.限制php对文件系统的访问；

        3.防止代码注入，GET/POST/COOKIE/SERVER等传入参数值合理过滤；

        4.用户密码的数据，千万不要使用明文储存到数据库；

        5.善用验证码与ip模块限制，减少暴力注入垃圾信息的机率。

前端js

        1.防止xxs攻击。