1、系統(tǒng)漏洞的修復(fù)
創(chuàng)新互聯(lián)于2013年成立,是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目做網(wǎng)站、網(wǎng)站制作網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元怒江州做網(wǎng)站,已為上家服務(wù),為怒江州各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):028-86922220
安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁,一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。
2、系統(tǒng)賬號(hào)優(yōu)化
我們服務(wù)器的密碼需要使用強(qiáng)口令,同時(shí)有一些來(lái)賓賬戶(hù)例如guest一定要禁用掉。
3、目錄權(quán)限優(yōu)化
對(duì)于不需要執(zhí)行與寫(xiě)入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改,確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。
例如我們的windows文件夾權(quán)限,我們給的就應(yīng)該盡可能的少,對(duì)于用戶(hù)配置信息文件夾,不要給予everyone權(quán)限。
4、數(shù)據(jù)庫(kù)優(yōu)化
針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪(fǎng)問(wèn)都要進(jìn)行優(yōu)化,不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪(fǎng)問(wèn)環(huán)境。
5、系統(tǒng)服務(wù)優(yōu)化
去除一些不必要的系統(tǒng)服務(wù),可以?xún)?yōu)化我們系統(tǒng)性能,同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。
6、注冊(cè)表優(yōu)化
注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力,去除不必要的端口,幫助抵御snmp攻擊,優(yōu)化網(wǎng)絡(luò),是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。
7、掃描垃圾文件
垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓,硬盤(pán)空間不足,需要我們定期進(jìn)行清理。
一、強(qiáng)化密碼強(qiáng)度
只要涉及到登錄,就需要用到密碼,如果密碼設(shè)定不恰當(dāng),就很容易被黑客破解,如果是超級(jí)管理員(root)用戶(hù),如果沒(méi)有設(shè)立良好的密碼機(jī)制,可能給系統(tǒng)造成無(wú)法挽回的后果。
很多用戶(hù)喜歡用自己的生日、姓名、英文名等信息來(lái)設(shè)定,這些方式可以通過(guò)字典或者社會(huì)工程的手段去破解,因此建議用戶(hù)在設(shè)定密碼時(shí),盡量使用非字典中出現(xiàn)的組合字符,且采用數(shù)字與字符、大小寫(xiě)相結(jié)合的密碼,增加密碼被破譯的難度。
二、登錄用戶(hù)管理
進(jìn)入Linux系統(tǒng)前,都是需要登錄的,只有通過(guò)系統(tǒng)驗(yàn)證后,才能進(jìn)入Linux操作系統(tǒng),而Linux一般將密碼加密后,存放在/etc/passwd文件中,那么所有用戶(hù)都可以讀取此文件,雖然其中保存的密碼已加密,但安全系數(shù)仍不高,因此可以設(shè)定影子文件/etc/shadow,只允許有特殊權(quán)限的用戶(hù)操作。
三、賬戶(hù)安全等級(jí)管理
在Linux操作系統(tǒng)上,每個(gè)賬戶(hù)可以被賦予不同的權(quán)限,因此在建立一個(gè)新用戶(hù)ID時(shí),系統(tǒng)管理員應(yīng)根據(jù)需要賦予該賬號(hào)不同的權(quán)限,且歸并到不同的用戶(hù)組中。每個(gè)賬號(hào)ID應(yīng)有專(zhuān)人負(fù)責(zé),在企業(yè)中,如果負(fù)責(zé)某個(gè)ID的員工離職,該立即從系統(tǒng)中刪除該賬號(hào)。
四、謹(jǐn)慎使用"r"系列遠(yuǎn)程程序管理
在Linux操作系統(tǒng)中,有一系列r開(kāi)頭的公用程序,如rlogin、rcp等,非常容易被不法分子用來(lái)攻擊我們的系統(tǒng),因此千萬(wàn)不要將root賬號(hào)開(kāi)放給這些公用程序,現(xiàn)如今很多安全工具都是針對(duì)此漏洞而設(shè)計(jì)的,比如PAM工具,就可以將其有效地禁止掉。
五、root用戶(hù)權(quán)限管理
root可謂是Linux重點(diǎn)保護(hù)對(duì)象,因?yàn)槠錂?quán)利是最高的,因此千萬(wàn)不要將它授權(quán)出去,但有些程序的安裝、維護(hù)必須要求是超級(jí)用戶(hù)權(quán)限,在此情況下,可以利用其他工具讓這類(lèi)用戶(hù)有部分超級(jí)用戶(hù)的權(quán)限。sudo就是這樣的工具。
六、綜合防御管理
防火墻、IDS等防護(hù)技術(shù)已成功應(yīng)用到網(wǎng)絡(luò)安全的各個(gè)領(lǐng)域,且都有非常成熟的產(chǎn)品,需要注意的是:在大多數(shù)情況下,需要綜合使用這兩項(xiàng)技術(shù),因?yàn)榉阑饓ο喈?dāng)于安全防護(hù)的第一層,它僅僅通過(guò)簡(jiǎn)單地比較IP地址/端口對(duì)來(lái)過(guò)濾網(wǎng)絡(luò)流量,而IDS更加具體,它需要通過(guò)具體的數(shù)據(jù)包(部分或者全部)來(lái)過(guò)濾網(wǎng)絡(luò)流量,是安全防護(hù)的第二層。綜合使用它們,能夠做到互補(bǔ),并且發(fā)揮各自的優(yōu)勢(shì),最終實(shí)現(xiàn)綜合防御。
1、防火墻,安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據(jù)一些安全報(bào)告阻止自某些特定IP地址范圍的機(jī)器連接,給服務(wù)器增加一個(gè)防護(hù)層,同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整,消除內(nèi)部網(wǎng)絡(luò)的安全隱患。
2、漏洞掃描,使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描,來(lái)發(fā)現(xiàn)潛在的安全問(wèn)題,并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來(lái)安全問(wèn)題。
3、安全配置,關(guān)閉不必要的服務(wù),最好是只提供所需服務(wù),安裝操作系統(tǒng)的最新補(bǔ)丁,將服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁,對(duì)根據(jù)服務(wù)提供者的安全建議進(jìn)行配置等,這些措施將極大提供服務(wù)器本身的安全。
4、優(yōu)化代碼,優(yōu)化網(wǎng)站代碼,避免sql注入等攻擊手段。檢查網(wǎng)站漏洞,查找代碼中可能出現(xiàn)的危險(xiǎn),經(jīng)常對(duì)代碼進(jìn)行測(cè)試維護(hù)。
5、入侵檢測(cè)系統(tǒng),利用入侵檢測(cè)系統(tǒng)的實(shí)時(shí)監(jiān)控能力,發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為,記錄黑客的來(lái)源及攻擊步驟和方法。