要开始，您可能需要专注于两件事：

1. 保护您的网络服务器
2. 保护您的网站

这确实是两个不同的专业，我认为我无法挖掘出描述两者的单一文档……热心的安全书呆子还会指出，这是假设您在一个安全的网络中工作体面的人身安全、安全政策和其他领域的保护。

保护 Web 服务器

放下手，你最好的信息将是特定于网络服务器的——每个都有它自己的弱点。看不见的景象，我推荐这个：

http://iase.disa.mil/stigs/app_security/web_server/general.html

是的，它是美国国防部特定的，但它有一些通常不是那么糟糕的指导。

我也很喜欢 NIST 的东西：

http://csrc.nist.gov/publications/nistpubs/800-44-ver2/SP800-44v2.pdf

保护您的网站：

毫无疑问，我最喜欢的安全 Web 开发网站是 OWASP。

https://www.owasp.org/index.php/Main_Page

这方面的信息很密集，无论你如何切分，都有很多东西可以吸收。Web 应用程序安全性没有一个好的清单——您必须从一开始就设计安全性，并准备好在开发的所有部分都考虑安全性。

我喜欢 OWASP 的地方在于他们对具体问题的细分，例如：

https://www.owasp.org/index.php/SQL_injection

为您提供问题、威胁、漏洞、示例以及如何处理它的一些想法——几乎我需要的一切，无论我是安全分析师还是试图解决问题的可怜人。

这真的是一个非常臭的大问题。根据您选择的标签，您似乎在寻求有关 LAMP 堆栈的指导，因此我们将重点关注这一点。已经有很多相关的硬化已发布的问题，因此要获得更多见解，请查看以下问题：
MySQL 服务器强化
强化 Linux 服务器
强化 php.ini 文件的最佳实践是什么？
Apache 服务器强化

您采用的具体技术可能在很大程度上取决于您的环境以及您的服务器的使用方式。警告，这可能需要在测试环境中进行大量工作才能构建并正确完成。其次是大量的工作要融入你的生产环境，更重要的是业务流程。

但是，首先，请检查您的组织是否有任何强化政策，因为这些政策可能是最直接相关的。如果没有，根据您的角色，这可能是构建它们的好时机。我还建议从下往上分别处理每个组件。

L
有很多很好的指南可以帮助你。此列表可能对您有帮助，也可能对您没有帮助，具体取决于您的发行版。

• 互联网安全基准中心- 针对主要风格的分发
• CentOS Hardening HowTo - 紧跟 CIS RHEL5 指南，但更容易阅读
• NIST SP800-123 - 通用服务器安全指南
• NSA Hardening Factsheets - 不像 CIS 那样最近更新，但仍然主要适用
• Tiger - 实时系统安全审计软件

A
Apache 的安全性很有趣。我发现强化操作系统和维护可用性比 Apache 或 PHP 更容易。

• Apache Server Hardening - IT Security 姊妹网站上的这个问题有很多很好的信息。
• 互联网安全基准中心- 同样是 Apache 基准。
• Apache 安全提示- 直接来自 Apache 项目，它看起来涵盖了基础知识
• DISA 强化清单- 国防部信息保障人员的清单

他们

• 互联网安全基准中心- 再次，但针对 MySQL 基准
• OWASP MySQL 加固
• 一般安全指南- 项目开发人员的基本清单

P
这直接涉及到安全编程实践的整个理念，它是一门独立的学科。SANS 和 OWASP 有大量关于该主题的荒谬信息，所以我不会尝试在这里复制它。我将专注于运行时配置，让您的开发人员担心其余的事情。有时 LAMP 中的“P”指的是 Perl，但通常是 PHP。我假设后者。

• Hardening PHP - 一些小的讨论，也在 IT Security SE 站点上。
• Hardened PHP Project - 产生Suhosin的主要项目，试图修补 PHP 应用程序以对抗某些类型的攻击。
• 使用 Suhosin 强化 PHP - 专门针对 Suhosin 的简短 HowTo
• Hardening PHP from php.ini - 关于一些与安全相关的运行时选项的简短但不错的讨论