针对于常见的web服务的加固方案
对三大常见WEB服务提出加固方案:
- Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。
- MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。
- Tomcat安全优化包括:隐藏版本信息、降权启动、删除默认测试页面.
步骤一:优化Nginx服务的安全配置
Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用–with参数可以开启某些模块,使用–without可以禁用某些模块。最小化安装永远都是对的方案!
tar -xf nginx-1.xx.tar.gz
cd nginx
./configure --help|grep "\--with-" #以--with开头的模块默认是不安装的,需要手动添加
--with-select_module enable select module
--with-poll_module enable poll module
。。。。。。。
./configure --help|grep "\--without" #以--whithout开头的禁用模块,模块越少越安全
--without-select_module disable select module
--without-poll_module disable poll module
。。。。。。。
# 例子禁用不需要的模块,提高安全性
./configure --without-http_autoindex_module --without-http_ssi_module
#禁止不需要的模块,autoindex列出目录下的,ssi过滤器、简单的缓存模块企业很少用
步骤二:修改版本信息,并隐藏具体的版本号
默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。通过如下方法可以修改版本信息。
常规的修改方式:(不是很彻底)
vim /usr/local/nginx/conf/nginx.conf
http {
server_tokens off;
}
curl -I http://192.168.4.5 #依然存在Server:nginx(让nginx都不显示)
修改源代码实现:(彻底的修改)
#首先保证vim这条命令必须在nginx-x.xx源码包目录下执行!
[root@proxy nginx-1.12.2]# vim +48 src/http/ngx_http_header_filter_module.c #+48直接到48行
#直接对Nginx的源码进行修改以下的三行内容
#在源码包中修改好了源码,重修源码编译
./configure&&make -j 4&&make install
步骤三:限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险。
vim /usr/local/nginx/conf/nginx.conf
http{
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; #每一次访问用内存记录
server {
listen 80;
server_name localhost;
limit_req zone=one burst=5; #同一个人最大打开连接数为5个,超过了其他的直接拒绝
}
}
nginx -s reload #重载配置文件
备注说明 | limit_req_zone语法格式如下 |
---|---|
1 | limit_req_zone key zone=name:size rate=rate; |
2 | 以上实验中是将客户端IP信息存储名称为one的共享内存,内存空间为10M |
3 | 1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整 |
4 | 每秒中仅接受1个请求,多余的放入漏斗 |
5 | 漏斗超过5个则报错 |
客户端使用ab测试软件测试效果:
ab -c 100 -n 100 http://测试的IP/
以下图片显示了100次访问失败94次!
步骤四:拒绝非法的请求:
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
vim /usr/local/nginx/conf/nginx.conf
http{
server {
listen 80;
if (request_method !~ ^(GET|POST) ) {
return 444;
}
}
}
/usr/local/nginx/sbin/nginx -s reload
请求方式的对比
[roo@client ~]# curl -i -X GET http://192.168.4.5 #正常
[roo@client ~]# curl -i -X HEAD http://192.168.4.5 #报错
防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。
vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
… …
}
/usr/local/nginx/sbin/nginx -s reload
数据库安全
初始化安全脚本
安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。
systemctl status mariadb #确保服务已启动
mysql_secure_installation #执行初始化安全脚本
密码安全
修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看名为密码:
mysqladmin -uroot -predhat password 'mysql' #修改密码
MariaDB [(none)]>set password for root@'localhost'=password('redhat') #数据库中修改密码
MariaDB [(none)]> select user,host,password from mysql.user; #查询修改好的密码
cat .bash_history
mysqladmin -uroot -pxxx password 'redhat'
#通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
cat .mysql_history
set password for root@'localhost'=password('redhat');
select user,host,password from mysql.user;
flush privileges;
#通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码
- 存在的问题
除了以上的问题以外还有:另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。
- 怎么解决?
管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,
日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)。
3)数据备份与还原首先,备份数据库(注意用户名为root,密码为redhat):
mysqldump -uroot -predhat mydb table > table.sql #备份数据库中的某个数据表
mysqldump -uroot -predhat mydb > mydb.sql #备份某个数据库
mysqldump -uroot -predhat --all-databases > all.sql #备份所有数据库
还原数据库
mysql -uroot -predhat mydb < table.sql #还原数据表
mysql -uroot -predhat mydb < mydb.sql #还原数据库
mysql -uroot -predhat < all.sql #还原所有数据库
使用tcpdump抓包
tcpdump -w log -i eth0 src or dst port 3306 #抓取源或目标端口是3306的数据包,保存到log文件中
客户端从远程登陆数据库服务器
[roo@client ~]# mysql -utom -p123 -h 192.168.4.5 #在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
MariaDB [(none)]> select * from mysql.user; #登陆数据库后,任意执行一条查询语句
回到服务器查看抓取的数据包
tcpdump -A -r log
#使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来
如何解决?
可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。
或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。
Tomcat安全性
- 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)
[roo@web1 ~]# curl -I http://192.168.2.100:8080/xx #访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl -I http://192.168.2.100:8080 #访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl http://192.168.2.100:8080/xx #访问不存在的页面文件,查看错误信息
- 修改tomcat配置文件,修改版本信息
[roo@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel [roo@web1 tomcat]# cd /usr/local/tomcat/lib/ [roo@web1 lib]# jar -xf catalina.jar [roo@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties #根据自己的需要,修改版本信息的内容 [roo@web1 lib]# /usr/local/tomcat/bin/shutdown.sh #关闭服务 [roo@web1 lib]# /usr/local/tomcat/bin/startup.sh #启动服务
- 修改后再次查看版本信息
[roo@web1 ~]# curl -I http://192.168.2.100:8080/xx #访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl -I http://192.168.2.100:8080 #访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl http://192.168.2.100:8080/xx #访问不存在的页面文件,查看错误信息
- 再次修改tomcat服务器配置文件,修改版本信息,手动添加server参数:
[roo@web1 lib]# vim /usr/local/tomcat/conf/server.xml <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="jacob" /> [roo@web1 lib]# /usr/local/tomcat/bin/shutdown.sh #关闭服务 [roo@web1 lib]# /usr/local/tomcat/bin/startup.sh #启动服务
- 修改后再次查看版本信息
[roo@web1 ~]# curl -I http://192.168.2.100:8080/xx //访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl -I http://192.168.2.100:8080 //访问不存在的页面文件,查看头部信息 [roo@web1 ~]# curl http://192.168.2.100:8080/xx //访问不存在的页面文件,查看错误信息
- 降级启动
默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。
[roo@web1 ~]# useradd tomcat
[roo@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
#修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[roo@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
#使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[roo@svr7 ~]# chmod +x /etc/rc.local #该文件为开机启动文件
[roo@svr7 ~]# vim /etc/rc.local #修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat
删除默认的测试页面
rm -rf /usr/local/tomcat/webapps/*