域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
書(shū)接上文,這次主要分享一下linux的安全方面的配置。
一、端口
使用iptables全部禁止,之后只允許開(kāi)放必須的端口,比如21,22,80等,但除了80之外,ftp和ssh的端口我們最好修改一下,這樣也給黑客掃描帶來(lái)一些難度,還得說(shuō)明一下,你的服務(wù)器被黑說(shuō)明對(duì)方的水平比你高,但大多數(shù)不是真正的高,而是用一些高手寫(xiě)的工具來(lái)掃描你的服務(wù)器。所謂蒼蠅不叮無(wú)縫的雞蛋。
二、用戶(hù)
刪除一切默認(rèn)用戶(hù),禁止root用戶(hù)遠(yuǎn)程登錄,鎖定passwd、group文件,不許任何人訪問(wèn)。只開(kāi)放必須的用戶(hù),比如來(lái)自internet的用戶(hù),盡量的控制權(quán)限。自己的管理密碼要定期更新,推薦使用自動(dòng)產(chǎn)生密碼的工具,復(fù)雜度足夠,特別是當(dāng)先黑鏈?zhǔn)⑿?,攻破一臺(tái)服務(wù)器能帶來(lái)相當(dāng)利益的情況下,更應(yīng)該注意。
三、應(yīng)用程序
在應(yīng)用程序上,不要使用現(xiàn)成的模板,特別是免費(fèi)的,你能得到,大家都能得到,任何的程序理論上都是有漏洞的,如果一個(gè)程序使用者太多,并且找到漏洞后會(huì)獲得很大利益,那就要注意。所謂無(wú)利不起早。每天關(guān)注訪問(wèn)日志,就能看到,大量的掃描程序訪問(wèn),一般都是試圖訪問(wèn)特定的程序或者文件,如果發(fā)現(xiàn)你在使用,并且還沒(méi)有修補(bǔ)漏洞,那你就要小心了。
四、設(shè)計(jì)靈活的限制訪問(wèn)策略
雖然apache已經(jīng)提供了強(qiáng)大的訪問(wèn)控制,但還不夠靈活,最好自己能細(xì)粒度的控制訪問(wèn)策略,做到盡量讓我們的客戶(hù)能正常訪問(wèn),拒絕大部分的惡意訪問(wèn)。
惡意訪問(wèn),分為很多,比如盜鏈,會(huì)使用我們寶貴的帶寬和服務(wù)器資源,為他人提供相關(guān)服務(wù),但如果利用的好的話,反而會(huì)給我們帶來(lái)流量,所謂魔高一尺,道高一丈。因?yàn)楣ぷ鞯年P(guān)系,這個(gè)內(nèi)容可以展開(kāi)來(lái)說(shuō),找機(jī)會(huì)做個(gè)這方面的專(zhuān)題,展示幾個(gè)花腐朽為神奇的例子。
還比如惡心抓取,盜用我們辛辛苦苦組織的內(nèi)容。我們可以從ip上,訪問(wèn)頻率上,隨即的url參數(shù)上進(jìn)行屏蔽,但主要是有可靠的發(fā)現(xiàn)機(jī)制。
五、服務(wù)器監(jiān)控上
服務(wù)器監(jiān)控是必不可少的,但不推薦使用復(fù)雜的監(jiān)控軟件,像nagios,主要是出于性能的考慮,本來(lái)服務(wù)器就不堪重負(fù),再給他加上沉重的負(fù)擔(dān)。
推薦可以自己寫(xiě)一些監(jiān)控的shell腳本,都很簡(jiǎn)單的,檢測(cè)幾項(xiàng)關(guān)鍵的指標(biāo),比如cpu負(fù)載,內(nèi)存使用率,硬盤(pán)讀寫(xiě)高峰,網(wǎng)卡流量等。可以使用cron定期執(zhí)行。
應(yīng)用程序的運(yùn)行情況,日志是必不可少的,運(yùn)行期的日志一個(gè)檢測(cè)程序運(yùn)行狀態(tài),是否良好,二是在出錯(cuò)的時(shí)候,可以早到出錯(cuò)點(diǎn),加以改正。
訪問(wèn)日志,是我們了解用戶(hù)行為的唯一手段。是提升網(wǎng)站內(nèi)容質(zhì)量的關(guān)鍵指標(biāo)依靠。網(wǎng)站的改版,功能的添加都要在分析日志基礎(chǔ)上得出結(jié)論。
本次分享完畢,請(qǐng)期待我下一次分享。
本系列文章由阿土伯爆笑笑話()站長(zhǎng)撰寫(xiě),首發(fā)A5,轉(zhuǎn)載請(qǐng)留鏈接
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!