||  網站導覽  ||  留言版
 
  站長 x 管理人
 
  文章分類
    JAVA
    Database資料庫
    應用程式
    文書處理
    normal一般設定
    Web-design網頁設計
    Virtual Machine虛擬機器
    MIS網管
       Mac
       不分類
       Windows
       Linux
    media多媒體
    未分類
 
 
 
 
「實作」Centos6.x架站調效
 
 
 
 
●關閉selinux
# vi /etc/selinux/config
將SELINUX=enforcing
改為SELINUX=disabled

重開機
or
# lokkit --selinux=disabled
重開機


如果只是想暫時切換成寬容模式
# setenforce 0


●安裝基本httpd+相關服務
# yum install httpd mysql mysql-server php php-mysql php-mbstring php-gd

# chkconfig --level 35  httpd on
# chkconfig --level 35  mysqld on


●apache需修改的地方

<Directory "/var/www/html">
...

#關閉目錄瀏覽的功能(預設為開啟)
#Options Indexes FollowSymLinks
Options -Indexes FollowSymLinks
...
</Directory>
 

●php.ini需修改的地方
;使用縮寫<??>
short_open_tag = On
 
[Date]
;時區
date.timezone = Asia/Taipei

;post最大值(預設8M),視需求修改
post_max_size = 8M

;單一上傳檔案大小最大值(預設2M),視需求修改
upload_max_filesize = 2M

 
●已知不提供的套件,有需要請從epel去抓
php-mcrypt
php-mssql
freetds
 
 
6.x使用的openssl有「Heartbleed」漏洞
務必更新到openssl-1.0.1e-16(含)以上
# yum update openssl

openssl漏洞CVE-2016-2107
務必更新到openssl-1.0.1e-48.el6_8.1(含)以上
# yum update openssl

修正shellshock漏洞
至少要升級到bash-4.1.2-15.el6_5.2(含)以上
# yum update bash

俢正glibc的ghost漏洞
glibc-2.12-1.149.el6.i686 升到 glibc-2.12-1.149.el6_6.5.i686
# yum update glibc
重開機
# reboot

查詢openssl關於CVE-2014-0224的修改紀錄
# rpm -q --changelog openssl | grep CVE-2014-0224


更新之後,執行下面的指令,把列出來的服務也重啟
# lsof -n | grep ssl | grep DEL


俢正Stack Clash漏洞(CVE-2017-1000364)
Centos6要升級到kernel-2.6.32-696.3.2.el6(含)以上
Centos7要升級到kernel-3.10.0-514.21.2.el7(含)以上
# yum update kernel
重開機
# reboot


參考資料:
修復CentOS 6.5 OpenSSL CVE-2014-0160資安漏洞的方法
Update and Patch OpenSSL on Ubuntu for the CCS Injection Vulnerability
CentOS 6 關閉 Selinux
CentOS 上的 Shellshock
Vulnerability Summary for CVE-2014-3566
CVE-2015-0235 Critical: glibc security update(RHE5)
CVE-2015-0235 Critical: glibc security update(RHE6/7)
Resolution for CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109, CVE-2016-2176 (OpenSSL May 3, 2016) - Red Hat Customer Portal
RedHat CVE Database-CVE-2017-1000364

預設採用postfix做為MTA(5.x才是sendmail喔)

待測:
vsftpd2.3.5以後的版本
使用chroot之後,好像在家目錄那一層多了安全性限制
有寫入權限=>登入失敗
無寫入權限=>登入成功,但無法寫入,只能對子目錄開放寫入權限


最後修訂:20170621

 
 
 
 
Copyright © 2012 NBOX. All Rights Reserved.