當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

Linux系統(tǒng)安全知識防范黑客攻擊

http://www.yibo1263.com　2010-1-29 8:34:07 　來源:東北IT網(wǎng) 　編輯:葉子

　　一、堡壘往往是從內(nèi)部被攻破的，小心你身邊的人

　　經(jīng)驗表明，絕大多數(shù)的網(wǎng)絡(luò)攻擊，來自同事、網(wǎng)友和主機用戶。這些人能直接或者間接地進入你的主機系統(tǒng)，甚至有可能知道你的密碼。小小的疏漏，都會造成致命的錯誤。我曾經(jīng)給我同事演示盜取他論壇密碼，方法很簡單，INCLUDE，然后ECHO，變量值就顯示出來了，變量值里就存有密碼，只有幾行代碼。我告訴他把密碼直接寫到論壇源碼里去，這樣就沒事了。換個角度，你不是網(wǎng)管，只是主機上的用戶，網(wǎng)管一個小小的失誤，很可能會毀掉你的網(wǎng)站。

　　二、經(jīng)常翻看服務(wù)器日志

　　日志里有各種訪問信息，通過分析日志文件，你很容易發(fā)現(xiàn)試圖進入你管理后臺或者試圖探測主機的人。11月初的時候，以為學校的小路由器總斷線，我改用服務(wù)器代理上網(wǎng)，用的是紅帽子9。服務(wù)器運行不到一個月，我翻看了一下日志，發(fā)現(xiàn)至少有五個國家和地區(qū)的IP試圖探測我的系統(tǒng)，有美國、韓國、日本、臺灣、印度。于是我做了IPTABLES，對那幾個IP網(wǎng)段做了屏蔽，倒是安靜了一些日子，服務(wù)器上只產(chǎn)生了很少的日志信息。后來我發(fā)現(xiàn)，試圖探測系統(tǒng)的IP有不少是國內(nèi)的，屏蔽IP顯然不是什么好辦法，好好做做IPTABLES比什么都強。舉個例子，我服務(wù)器上的SSH和WEBMIN服務(wù)限定為只有葫蘆島鐵通的IP才可以訪問，這樣很容易查到試圖入侵系統(tǒng)的黑客。說到翻看日志，我居然發(fā)現(xiàn)有網(wǎng)絡(luò)監(jiān)控部門的訪問記錄，勸大家以后開網(wǎng)站小心點，別以為別人不知道你做了啥~

　　三、別相信法律武器

　　如果你是政府網(wǎng)站的網(wǎng)管，你大可不必擔心別人黑你，一般人他不敢。多數(shù)情況下，別人黑了你，你都沒有辦法。就算你有足夠證據(jù)，也未必會得到法律的有效保護，更何況你的網(wǎng)站沒有注冊登記，被人黑了也就黑了，真是沒處告去。所以安全防護還要靠你自己。

　　四、我的網(wǎng)站安全策略

　　現(xiàn)在大部分的網(wǎng)站，尤其是單位和個人網(wǎng)站，都是用CMS做的。CMS一般都有漏洞，包括論壇在內(nèi)，這是不可避免的，腳本對數(shù)據(jù)過濾不嚴就會產(chǎn)生SQL注入漏洞，你的數(shù)據(jù)庫內(nèi)容很可能被篡改。我是這么做的。

　　1、禁止FTP登陸主機，這么做很不方便，因為FTP空間經(jīng)常使用。

　　2、把CMS源碼文件OWNER設(shè)成ROOT，其實很簡單，登陸超級用戶后，拷貝一下目錄就可以了。

　　3、改源碼。因為CMS不會反復(fù)打開后臺數(shù)據(jù)庫，打開數(shù)據(jù)庫的指令通常只有幾條(多數(shù)時候是兩條，前臺源碼里一條，后臺源碼里一條)，過濾一下，很容易找到相應(yīng)的腳本行。

　　4、ZEND優(yōu)化類似編譯，實際上它還有源碼加密的功效，這樣隱藏在源碼里的數(shù)據(jù)庫密碼就不會露出來了。

　　5、一個數(shù)據(jù)庫用兩個用戶名打開。MYSQL的權(quán)限管理可以到字段。添在你源碼里的打開數(shù)據(jù)庫的那個用戶，權(quán)限盡可能降低，而另一個管理用的用戶名，則擁有對數(shù)據(jù)庫的全部權(quán)限。權(quán)限設(shè)好了，就算把管理密碼貼到大街上，別人也奈何不了你。

　　6、該數(shù)據(jù)庫原始文件權(quán)限，SU后拷貝一下目錄，這樣即使是數(shù)據(jù)庫管理員，也黑不了你的網(wǎng)站~一般來說是不用這么做的。

　　7、物理上的安全措施，媒體資料、數(shù)據(jù)庫、網(wǎng)站前臺、后臺分別放在不同服務(wù)器上。這么做有點BT了，不過安全沒的說，除非關(guān)鍵系統(tǒng)，否則沒必要搞這么嚴格。什么是關(guān)鍵系統(tǒng)呢？不只是國防、經(jīng)濟建設(shè)、金融等等系統(tǒng)才是重要系統(tǒng)，有一定規(guī)模的網(wǎng)站都屬于關(guān)鍵系統(tǒng)，安全漏洞可能使數(shù)年心血毀于一旦。

　　五、我的具體做法

　　這兩個月以來，我做了兩個網(wǎng)站。一個是學校的www.lnjxgx.cn，因為下學期要換別人做，現(xiàn)在已經(jīng)廢棄了，開學就要刪掉了。我把數(shù)據(jù)庫的權(quán)限設(shè)成“選擇”，同時屏蔽了FTP主機用戶。除非管理員，不然沒人能黑掉那個網(wǎng)站(我現(xiàn)在是唯一的管理員)。當然，數(shù)據(jù)庫不可寫，APACHE要報錯，我取消了APACHE和PHP的報錯功能。

　　第二個網(wǎng)站是放假以后做的www.y768.com/mil，一個小小的音樂網(wǎng)站。只有大約1000首歌曲。別看它小，功能卻很強大，我一個人整理資料，一天至少可以放一百張專集(大約一千多首歌曲)上去，CMS功能還是相當強大的。同樣，我把數(shù)據(jù)庫權(quán)限設(shè)成了“選擇”，對個別的表，則放開權(quán)限，比如留言板、用戶登陸對應(yīng)的三個表，這么做最壞的情況是留言被刪掉，網(wǎng)站的內(nèi)容是無法更改的。后臺我剝離出來，放到家里服務(wù)器上。

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·Linux防火墻偽裝機制抵抗黑客攻擊

·簡單介紹Linux內(nèi)核安全入侵偵察系統(tǒng)

·使用國外Linux主機做網(wǎng)站要注意2點

·大企業(yè)后端使用Linux十大常見方式

·化解四種入侵Linux服務(wù)器方法

·蓋茨新個人網(wǎng)站使用Linux服務(wù)器

·Linux服務(wù)器維護的四大法寶

·在關(guān)閉的Linux機器實現(xiàn)防火墻功能

·Linux系統(tǒng)清除Grub的幾種方法

·Linux改善FTP服務(wù)器的安全性

·淺析Linux內(nèi)核中的循環(huán)鏈表結(jié)構(gòu)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费