當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

Linux系統(tǒng)安全知識(shí) 防范黑客攻擊

http://www.yibo1263.com　2010-1-29 8:34:07 　來源:東北IT網(wǎng) 　編輯:葉子

　　一、堡壘往往是從內(nèi)部被攻破的，小心你身邊的人

　　經(jīng)驗(yàn)表明，絕大多數(shù)的網(wǎng)絡(luò)攻擊，來自同事、網(wǎng)友和主機(jī)用戶。這些人能直接或者間接地進(jìn)入你的主機(jī)系統(tǒng)，甚至有可能知道你的密碼。小小的疏漏，都會(huì)造成致命的錯(cuò)誤。我曾經(jīng)給我同事演示盜取他論壇密碼，方法很簡(jiǎn)單，INCLUDE，然后ECHO，變量值就顯示出來了，變量值里就存有密碼，只有幾行代碼。我告訴他把密碼直接寫到論壇源碼里去，這樣就沒事了。換個(gè)角度，你不是網(wǎng)管，只是主機(jī)上的用戶，網(wǎng)管一個(gè)小小的失誤，很可能會(huì)毀掉你的網(wǎng)站。

　　二、經(jīng)常翻看服務(wù)器日志

　　日志里有各種訪問信息，通過分析日志文件，你很容易發(fā)現(xiàn)試圖進(jìn)入你管理后臺(tái)或者試圖探測(cè)主機(jī)的人。11月初的時(shí)候，以為學(xué)校的小路由器總斷線，我改用服務(wù)器代理上網(wǎng)，用的是紅帽子9。服務(wù)器運(yùn)行不到一個(gè)月，我翻看了一下日志，發(fā)現(xiàn)至少有五個(gè)國家和地區(qū)的IP試圖探測(cè)我的系統(tǒng)，有美國、韓國、日本、臺(tái)灣、印度。于是我做了IPTABLES，對(duì)那幾個(gè)IP網(wǎng)段做了屏蔽，倒是安靜了一些日子，服務(wù)器上只產(chǎn)生了很少的日志信息。后來我發(fā)現(xiàn)，試圖探測(cè)系統(tǒng)的IP有不少是國內(nèi)的，屏蔽IP顯然不是什么好辦法，好好做做IPTABLES比什么都強(qiáng)。舉個(gè)例子，我服務(wù)器上的SSH和WEBMIN服務(wù)限定為只有葫蘆島鐵通的IP才可以訪問，這樣很容易查到試圖入侵系統(tǒng)的黑客。說到翻看日志，我居然發(fā)現(xiàn)有網(wǎng)絡(luò)監(jiān)控部門的訪問記錄，勸大家以后開網(wǎng)站小心點(diǎn)，別以為別人不知道你做了啥~

　　三、別相信法律武器

　　如果你是政府網(wǎng)站的網(wǎng)管，你大可不必?fù)?dān)心別人黑你，一般人他不敢。多數(shù)情況下，別人黑了你，你都沒有辦法。就算你有足夠證據(jù)，也未必會(huì)得到法律的有效保護(hù)，更何況你的網(wǎng)站沒有注冊(cè)登記，被人黑了也就黑了，真是沒處告去。所以安全防護(hù)還要靠你自己。

　　四、我的網(wǎng)站安全策略

　　現(xiàn)在大部分的網(wǎng)站，尤其是單位和個(gè)人網(wǎng)站，都是用CMS做的。CMS一般都有漏洞，包括論壇在內(nèi)，這是不可避免的，腳本對(duì)數(shù)據(jù)過濾不嚴(yán)就會(huì)產(chǎn)生SQL注入漏洞，你的數(shù)據(jù)庫內(nèi)容很可能被篡改。我是這么做的。

　　1、禁止FTP登陸主機(jī)，這么做很不方便，因?yàn)镕TP空間經(jīng)常使用。

　　2、把CMS源碼文件OWNER設(shè)成ROOT，其實(shí)很簡(jiǎn)單，登陸超級(jí)用戶后，拷貝一下目錄就可以了。

　　3、改源碼。因?yàn)镃MS不會(huì)反復(fù)打開后臺(tái)數(shù)據(jù)庫，打開數(shù)據(jù)庫的指令通常只有幾條(多數(shù)時(shí)候是兩條，前臺(tái)源碼里一條，后臺(tái)源碼里一條)，過濾一下，很容易找到相應(yīng)的腳本行。

　　4、ZEND優(yōu)化類似編譯，實(shí)際上它還有源碼加密的功效，這樣隱藏在源碼里的數(shù)據(jù)庫密碼就不會(huì)露出來了。

　　5、一個(gè)數(shù)據(jù)庫用兩個(gè)用戶名打開。MYSQL的權(quán)限管理可以到字段。添在你源碼里的打開數(shù)據(jù)庫的那個(gè)用戶，權(quán)限盡可能降低，而另一個(gè)管理用的用戶名，則擁有對(duì)數(shù)據(jù)庫的全部權(quán)限。權(quán)限設(shè)好了，就算把管理密碼貼到大街上，別人也奈何不了你。

　　6、該數(shù)據(jù)庫原始文件權(quán)限，SU后拷貝一下目錄，這樣即使是數(shù)據(jù)庫管理員，也黑不了你的網(wǎng)站~一般來說是不用這么做的。

　　7、物理上的安全措施，媒體資料、數(shù)據(jù)庫、網(wǎng)站前臺(tái)、后臺(tái)分別放在不同服務(wù)器上。這么做有點(diǎn)BT了，不過安全沒的說，除非關(guān)鍵系統(tǒng)，否則沒必要搞這么嚴(yán)格。什么是關(guān)鍵系統(tǒng)呢？不只是國防、經(jīng)濟(jì)建設(shè)、金融等等系統(tǒng)才是重要系統(tǒng)，有一定規(guī)模的網(wǎng)站都屬于關(guān)鍵系統(tǒng)，安全漏洞可能使數(shù)年心血?dú)в谝坏?

　　五、我的具體做法

　　這兩個(gè)月以來，我做了兩個(gè)網(wǎng)站。一個(gè)是學(xué)校的www.lnjxgx.cn，因?yàn)橄聦W(xué)期要換別人做，現(xiàn)在已經(jīng)廢棄了，開學(xué)就要?jiǎng)h掉了。我把數(shù)據(jù)庫的權(quán)限設(shè)成“選擇”，同時(shí)屏蔽了FTP主機(jī)用戶。除非管理員，不然沒人能黑掉那個(gè)網(wǎng)站(我現(xiàn)在是唯一的管理員)。當(dāng)然，數(shù)據(jù)庫不可寫，APACHE要報(bào)錯(cuò)，我取消了APACHE和PHP的報(bào)錯(cuò)功能。

　　第二個(gè)網(wǎng)站是放假以后做的www.y768.com/mil，一個(gè)小小的音樂網(wǎng)站。只有大約1000首歌曲。別看它小，功能卻很強(qiáng)大，我一個(gè)人整理資料，一天至少可以放一百張專集(大約一千多首歌曲)上去，CMS功能還是相當(dāng)強(qiáng)大的。同樣，我把數(shù)據(jù)庫權(quán)限設(shè)成了“選擇”，對(duì)個(gè)別的表，則放開權(quán)限，比如留言板、用戶登陸對(duì)應(yīng)的三個(gè)表，這么做最壞的情況是留言被刪掉，網(wǎng)站的內(nèi)容是無法更改的。后臺(tái)我剝離出來，放到家里服務(wù)器上。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Linux防火墻偽裝機(jī)制抵抗黑客攻擊

·簡(jiǎn)單介紹Linux內(nèi)核安全入侵偵察系統(tǒng)

·使用國外Linux主機(jī)做網(wǎng)站要注意2點(diǎn)

·大企業(yè)后端使用Linux十大常見方式

·化解四種入侵Linux服務(wù)器方法

·蓋茨新個(gè)人網(wǎng)站使用Linux服務(wù)器

·Linux服務(wù)器維護(hù)的四大法寶

·在關(guān)閉的Linux機(jī)器實(shí)現(xiàn)防火墻功能

·Linux系統(tǒng)清除Grub的幾種方法

·Linux改善FTP服務(wù)器的安全性

·淺析Linux內(nèi)核中的循環(huán)鏈表結(jié)構(gòu)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费