保護(hù)服務(wù)器安全與保護(hù)網(wǎng)站和API同樣重要�����。如果他們所依賴的基礎(chǔ)架構(gòu)不牢固��,那么您將沒有安全的網(wǎng)站(或API)�����。接下來是一個服務(wù)器安全清單���,其中包含您需要考慮的5種風(fēng)險���。
1.安全更新
許多漏洞的狀態(tài)均為零時狀態(tài),即在軟件供應(yīng)商有機會填補漏洞之前就發(fā)現(xiàn)(并公開)了該漏洞����。隨后便進(jìn)行了補丁競賽(請參閱shellshock示例)。通常只需幾個小時�,公共漏洞就會變成惡意的自動化漏洞。這意味著,在獲取安全更新時���,必須“按一下按鈕”�����。
您可能需要考慮自動安全更新(這是針對Ubuntu�����,F(xiàn)edora���,Red Hat&Centos 6和Centos 7的方法)。但是:請注意�����,如果自動更新在您不期望的時候發(fā)生或引起兼容性問題�����,則可能導(dǎo)致問題���。例如,MySQL的自動更新將導(dǎo)致MySQL重新啟動,這將終止所有打開的連接���。
我們建議您將程序包管理器配置為僅下載升級(即不進(jìn)行自動安裝)��,然后發(fā)送常規(guī)通知以供您查看����。我們的政策是每周監(jiān)控安全列表并應(yīng)用更新����。除非該漏洞很嚴(yán)重,否則我們必須立即做出反應(yīng)�。
2.訪問權(quán)限
合理化訪問權(quán)限是關(guān)鍵的安全步驟。它可以防止用戶和服務(wù)執(zhí)行意外動作�����。這包括從刪除“ root”帳戶以使用SSH登錄到禁用用于通常無法訪問的默認(rèn)帳戶的Shell的所有內(nèi)容����。例如:
PostgreSQL真的需要/ bin / bash嗎? 特權(quán)操作可以通過sudo完成嗎�? cron作業(yè)是否已鎖定,以便僅特定用戶可以訪問它們���? 3. SSH蠻力僵尸程序最常見的攻擊點是通過SSH暴力破解帳戶����。一些事情要看:
如上一節(jié)所述,必須禁用root帳戶的遠(yuǎn)程登錄�,因為它是最容易受到攻擊的帳戶。 由于這些漫游器專門針對密碼���,因此您可以通過使用公共/專用密鑰代替密碼來減少攻擊面�。 您可以通過將SSH端口從默認(rèn)的22更改為其他端口來進(jìn)一步����。當(dāng)然,可以使用端口掃描程序顯示新端口(您可能會考慮使用端口敲擊插件)���,但是����,Internet范圍內(nèi)的掃描程序是機會主義的����,而且不會走得太遠(yuǎn)�����。 更為嚴(yán)厲的措施是阻止所有流量并將白名單中的IP列入白名單。問問自己�����,整個互聯(lián)網(wǎng)是否需要訪問您的服務(wù)器�����?
通常要注意的是���,通過模糊性實現(xiàn)安全永遠(yuǎn)不是一個好目標(biāo)�����,因此請注意引入不必要的復(fù)雜性�����。
4.文件系統(tǒng)權(quán)限
考慮這種情況�。有人在Web應(yīng)用程序的某些PHP腳本中發(fā)現(xiàn)了遠(yuǎn)程執(zhí)行代碼漏洞��。該腳本由www-data用戶提供�����。因此,黑客注入的任何代碼也將由www-data執(zhí)行��。如果他們決定為持久性植入后門���,那么最簡單的方法就是編寫另一個帶有惡意代碼的PHP文件���,并將其放置在網(wǎng)站的根目錄中。
如果www-data沒有寫訪問權(quán)��,則永遠(yuǎn)不會發(fā)生這種情況���。通過限制每個用戶和服務(wù)可以執(zhí)行的操作(最小特權(quán)原則)��,您可以限制帳戶遭到破壞時可能造成的任何損害(縱深防御)��。
文件系統(tǒng)權(quán)限需要細(xì)化��。需要考慮的一些示例:
www用戶是否需要在webroot中寫入文件����? 您是否使用單獨的用戶從git存儲庫中提取文件�?(我們強烈建議您不要通過github Checkout運行您的網(wǎng)站。) www用戶是否需要列出webroot中的文件��?
我們建議您花一些時間定期檢查文件系統(tǒng)權(quán)限�。
5.服務(wù)器監(jiān)控
任何異常的服務(wù)器活動都可能表明存在違規(guī)行為。例如:
一個error_log條目的峰值可能是攻擊者試圖對系統(tǒng)進(jìn)行漏洞檢測的結(jié)果�。 持續(xù)的DDoS(分布式拒絕服務(wù))攻擊可能會導(dǎo)致網(wǎng)絡(luò)流量突然但持續(xù)增加。 CPU使用率或磁盤IO的增加可能表明數(shù)據(jù)泄漏���。例如Logica被黑客入侵的時間�,從而影響了瑞典和丹麥的稅務(wù)部門���。哎喲����。 磁盤使用率的增加是另一個跡象�����。一旦服務(wù)器受到威脅���,黑客就將其用作IRC和torrent服務(wù)器(成人內(nèi)容和盜版電影)等���。
當(dāng)確實出現(xiàn)問題并且服務(wù)器受到影響時���,時間至關(guān)重要。那就是可靠的警報和服務(wù)器監(jiān)視(就是我們�。┑牡胤健
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
