001-老男孩教育每日一題-Linux服務器如何防止中***?
(一)解答戰略
去企業面試時是有多位競爭者的,因此要注意答題的維度和高度,一定要直接秒殺競爭者,搞定高薪offer。
(二)解答戰術(服務權限體系)
因爲Linux下的***常常是惡意者通過Web的上傳目錄的方式來上傳***到Linux服務器的,可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲,層層設卡防護。
1、網站訪問
網站程序設計時的權限控制
2、linux系統權限的設置
這部分比較分散,大致包括端口權限,併發限制(***部分可能需要重視外傳發信),linux系統用戶權限控制,目錄歸屬權限,安全系統如selinux、apparmor(不常用)
3、http服務權限的設置
http服務的禁止post、put相關風險數據,部分ip端口等的策略。
4、中間件(php?訪問數據庫的程序及接口)
安全協議和自帶設置以及secret,php的風險函數要考慮關閉,防止sql注入等
5、程序代碼
程序代碼不能有安全漏洞
6、DB
數據庫合理安排,及時安全可靠備份,即便中招也能恢復
7、存儲
和數據庫像似,提高可靠性
(三)從用戶訪問角度解答參考(用戶權限策略)
開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序(JS及後端代碼控制)。
對上傳的內容(包括文本和文件)檢測,檢測方式可通過程序、Web服務層(中間件層)、數據庫等層面控制。
控制上傳目錄的權限以及非站點目錄的權限(Linux文件目錄權限+Web服務層控制)。
傳上***文件後的訪問和執行控制(Web服務層+文件系統存儲層)。執行控制
對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
安裝殺毒軟件clamav等,定期監測查殺***。
配置服務器防火牆及***檢測服務。
監控服務器文件變更、進程變化、端口變化、重要安全日誌並及時報警。
(四)從內部管理人員角度:防止被提權(內部權限管理體系)
進不了
***管理服務器或Web化管理服務器。增加堡壘機等安全措施。
條件允許ssh只監聽內網。
採用跳板機、操作審計。
沒權限
sudo集權管理、鎖定關鍵文件。
站點目錄、上傳目錄權限屬組控制。
早發現
做系統及站點文件備份指紋監控報警。
動態口令認證。
(五)最佳網友解答
精煉總結
是什麼
linux***經常通過web的上傳目錄方式來上傳***到linux服務器。
怎麼辦
故需要主要做到以下5點:
1、對用戶可以上傳的文件類型和上傳位置作嚴格限制。
2、用戶上傳 的文件在服務器中應該配置只具有可讀權限,不能執行。
3、用戶上傳目錄所屬主應該具有較小合適權限(項目權限去耦合)
4、對重要配置文件和web程序文件做MD5效驗監控和備份,及時發現問題
5、對服務器開放的端口進行和使用中的端口進行監控,保留整理檢查監控日誌,在異常進程及端×××動時能及時發現
來自李導的博客,加以自己的理解