Linux
Web 伺服器安全性(僅用於 Web 服務)
我正在使用虛擬專用伺服器來訪問僅在移動設備上使用的 Web 服務,訪問和錯誤日誌中有很多條目,即使 Web 伺服器上什麼也沒有。
我不太擔心伺服器安全。
我做過的事情。。
Installed Fail2Ban rkhunter using SSH login root login disabled.
我正在使用帶有 LAMP 配置的伺服器。
我應該使用哪些其他安全措施來防止攻擊?
看來您現在已經保護了銀行的後門,但忘記鎖前門了。
為什麼我這麼說?
您似乎擔心您的 ssh 安全性。太好了,絕對是一個值得好好保護的區域!但最有可能(成功)的攻擊媒介將來自網路。典型的殭屍網路只會盲目地嘗試載入常見的易受攻擊的 URL——如果你沒有安裝 phpBB 或 WordPress 之類的東西,你不必擔心。此外,如果您在 Linux 伺服器上看到與 Windows 相關的 URL,則無需擔心它們。
典型的網路攻擊包括
- SQL 注入。如果您的使用者發送的數據未得到正確驗證,並且您的應用程序未使用準備好的 SQL 查詢,則可以通過 Web 注入額外的 SQL 查詢並以這種方式更改/下載您的 SQL 數據。如果例如來自回饋文本區域的數據沒有得到正確驗證,那麼看似無害的回饋表單可能會為 SQL 注入打開一扇門。
- 跨站腳本 (XSS)。通過使用 JavaScript,可以執行各種令人討厭的事情,從網路釣魚到 pwning 客戶端的電腦。
- (分佈式)拒絕服務攻擊。殭屍網路試圖通過發送大量請求、訪問大量頁面和/或違反 TCP 標準來轟炸您的伺服器。
- 垃圾郵件。有時垃圾郵件發送者試圖通過使用一些已知漏洞來濫用您的 Web 伺服器,使他們能夠從您的伺服器發送垃圾郵件。或者 - 或者更有可能 - 他們現在傾向於向您的公告板、部落格評論等發送垃圾郵件。
如何防範此類事情?
- 最好的防禦是根本不在場。如果您不需要某些 Apache 模組或 PHP 擴展,請禁用它。如果您的部落格/CMS 軟體不需要某些功能,請將其禁用。
- 使用 mod_security。在保護您的 Web 應用程序方面,這個Apache 模組是重量級冠軍。警告語:對於許多人來說,這個模組太過分了,正確配置它可能很乏味。
- 使您的軟體保持最新。在更新 Web 應用程序時不要偷懶!安全漏洞在其中很常見。
- 不要依賴“它不是以 root 身份執行,我很安全”的口頭禪。我經常看到人們認為軟體不能以 root = safe 身份執行。嗯,快訊!出站 http 連接、發送電子郵件或執行 SQL 查詢不需要 Root 訪問權限。
- 使用防火牆。防火牆所有不需要的東西。如果您的伺服器不需要建立出站 http 連接,請將它們放在防火牆中。