CentOs web服務(wù)器安全防范經(jīng)驗(yàn)總結(jié)

1.禁用ROOT權(quán)限登錄。(重要)

創(chuàng)新互聯(lián)公司是一家專注網(wǎng)站建設(shè)、網(wǎng)絡(luò)營(yíng)銷策劃、小程序設(shè)計(jì)、電子商務(wù)建設(shè)、網(wǎng)絡(luò)推廣、移動(dòng)互聯(lián)開發(fā)、研究、服務(wù)為一體的技術(shù)型公司。公司成立十載以來(lái)，已經(jīng)為1000+混凝土攪拌站各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務(wù)?，F(xiàn)在，服務(wù)的1000+客戶與我們一路同行，見證我們的成長(zhǎng)；未來(lái)，我們一起分享成功的喜悅。

2.安全組收縮不使用的端口，建議除443/80以及ssh登錄等必要端口外全部關(guān)閉。

3.防火墻收縮不使用的端口，建議除443/80以及ssh登錄端口外全部關(guān)閉。

4.更改ssh默認(rèn)端口22

5.除登錄USER，禁止其他用戶su到root進(jìn)程，并且ssh開啟秘鑰及密碼雙層驗(yàn)證登錄。(重要)

6.限制除登錄USER外的其他用戶登錄。

7.安裝DenyHosts，防止ddos攻擊。

8.禁止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來(lái)的ping請(qǐng)求。

9.保持每天自動(dòng)檢測(cè)更新。

10.禁止除root之外的用戶進(jìn)程安裝軟件及服務(wù)，如有需要?jiǎng)troot安裝，chown給到用戶。

11.定時(shí)給服務(wù)器做快照。

12.更改下列文件權(quán)限：

13.限制普通用戶使用特殊命令，比如wget，curl等命令更改使用權(quán)限，一般的挖礦程序主要使用這幾種命令操作。

1.nginx進(jìn)程運(yùn)行在最小權(quán)限的子用戶中，禁止使用root用戶啟動(dòng)nginx。(重要)

2.配置nginx.conf，防范常見漏洞：

1.禁止root權(quán)限啟動(dòng)apache服務(wù)！禁止root權(quán)限啟動(dòng)apache服務(wù)！禁止root權(quán)限啟動(dòng)apache服務(wù)！重要的事情說(shuō)三遍！因?yàn)檫@個(gè)問(wèn)題被搞了兩次。

2.改掉默認(rèn)端口。

3.清空webapps下除自己服務(wù)外的其他文件，刪除用戶管理文件，防止給木馬留下后門。

4.限制apache啟動(dòng)進(jìn)程su到root進(jìn)程以及ssh登錄，限制啟動(dòng)進(jìn)程訪問(wèn)除/home/xx自身目錄外的其他文件。

5.限制apache啟動(dòng)進(jìn)程操作刪除以及編輯文件，一般a+x即可。

1.關(guān)閉外網(wǎng)連接，與java/php服務(wù)使用內(nèi)網(wǎng)連接。

2.在滿足java/php服務(wù)的基礎(chǔ)上，新建最小權(quán)限USER給到服務(wù)使用，禁止USER權(quán)限訪問(wèn)其他項(xiàng)目的庫(kù)。

3.root密碼不要與普通USER相同。

4.建議使用云庫(kù)，云庫(kù)具備實(shí)時(shí)備份，動(dòng)態(tài)擴(kuò)容，數(shù)據(jù)回退等功能，減少操作風(fēng)險(xiǎn)。

1.關(guān)閉外網(wǎng)連接，只允許內(nèi)網(wǎng)交互，基本這個(gè)做了之后就已經(jīng)穩(wěn)了。

2.禁止root權(quán)限啟動(dòng)，運(yùn)行在普通用戶進(jìn)程里。

3.更改默認(rèn)端口。

4.添加登錄密碼。

以上是自己做的防范手段，不成熟見解，有一些方案待驗(yàn)證，不定時(shí)更新，歡迎大佬補(bǔ)充！

高防服務(wù)器的原理是什么？

高防服務(wù)器的防御原理

無(wú)論網(wǎng)站大小，多多少少都會(huì)被DDOS攻擊和CC攻擊的經(jīng)歷，應(yīng)對(duì)流量攻擊，很多人首先會(huì)想

高防服務(wù)器主要是指獨(dú)立單個(gè)硬防防御50G 以上的服務(wù)器，可以為單個(gè)客戶提供安全維護(hù)。

總的來(lái)說(shuō)是屬于服務(wù)器的一種，根據(jù)各個(gè)IDC機(jī)房的環(huán)境不同，有的提供有硬防，有使用軟防。

從防御范圍來(lái)看，高防服務(wù)器能夠?qū)YN、UDP、ICMP、HTTP GET等各類DDoS攻擊進(jìn)行防護(hù)，并且能針對(duì)部分特殊安全要求的web用戶提供CC攻擊動(dòng)態(tài)防御。

高防服務(wù)器防御的原理是什么？

現(xiàn)如今，市面上的絕大多數(shù)高防服務(wù)器，主要通過(guò)實(shí)現(xiàn)在“網(wǎng)絡(luò)層面”和“物理層面”的防護(hù)，來(lái)幫助用戶防御各種網(wǎng)絡(luò)攻擊，并維護(hù)服務(wù)器自身的安全。

1、網(wǎng)絡(luò)防御

有一種高防服務(wù)器，主要是針對(duì)網(wǎng)絡(luò)防御進(jìn)行加強(qiáng)的服務(wù)器。這類高防服務(wù)器，在硬件上與普通的服務(wù)器是一樣的，只不過(guò)在技術(shù)上，進(jìn)行了專門的 IP 隱藏設(shè)計(jì)，使得外界的攻擊沒有辦法直接攻擊到該服務(wù)器，這也是一種很有效的防御措施和原理。

2、物理防御

一般來(lái)說(shuō)，我們通常所接觸到的高防服務(wù)器，指的都是物理防御，也就是直接在服務(wù)器的硬件上面，增加了一層硬件防火墻。這樣的硬件防火墻，無(wú)疑就像是服務(wù)器一層厚重的“盔甲”，可以起到非常良好的防御作用。所以一般默認(rèn)的高防服務(wù)器，就是這類添加“硬件防火墻”進(jìn)行物理防御的高防服務(wù)器。這種高防服務(wù)器，能夠使得通過(guò)在物理硬件層面的加持，讓用戶享受到更加安全、良好和顯著的防御效果。