创旗备案管理系统的安全配置方案
1、备案系统升级到“20120910”。
2、启用管理员授权访问功能,只允许指定的来源IP访问管理中心。
访问ip.cn网站获取当前上网IP,尽量设置在该IP段内。如上网IP为114.80.1.2,可设置授权访问ip范围为:114.80.0.0-114.80.255.255。(如图:
)
3、配置WEB服务的权限。
a、Linux关闭nginx信息显示:
打开nginx.conf,在http { }里加上:
server_tokens off;
nginx禁止访问目录:
error_page 403 404 502 503 504 /;
location ^~ /ispfile/
{
deny all;
}
b、Windows关闭apache信息显示:
开启httpd.conf,加入以下三行:
ServerTokens ProductOnly
ServerSignature Off
TraceEnable off
<Directory "D:\abchosting\trunkey\wwwroot\ispfile">
Options FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
</Directory>
c、隐藏PHP版本信息:
开启php.ini,加入:
expose_php = Off
修改配置值:
cgi.fix_pathinfo=0
完成以上设定后,重新启动 Apache/Nginx 即可。
5、配置系统防火墙,只开启80服务端口,关闭所有与备案系统无关的其它服务与软件。
a、Linux下的iptables配置,打开“/etc/system/iptables”
------------------------------------------------------------------------------------
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
配置完成后,重启service iptables restart
b、Windows下配置系统防火墙,只开放WEB端口与远程管理端口。
附件列表
文章内容仅供参考,如果您需要解决具体问题建议您提交有问必答。 3
标签: 暂无标签
同义词: 暂无同义词