书接上文,这次主要分享一下linux的安全方面的配置。
一、端口
使用iptables全部禁止,之后只允许开放必须的端口,比如21,22,80等,但除了80之外,ftp和ssh的端口我们最好修改一下,这样也给黑客扫描带来一些难度,还得说明一下,你的服务器被黑说明对方的水平比你高,但大多数不是真正的高,而是用一些高手写的工具来扫描你的服务器。所谓苍蝇不叮无缝的鸡蛋。
二、用户
删除一切默认用户,禁止root用户远程登录,锁定passwd、group文件,不许任何人访问。只开放必须的用户,比如来自internet的用户,尽量的控制权限。自己的管理密码要定期更新,推荐使用自动产生密码的工具,复杂度足够,特别是当先黑链盛行,攻破一台服务器能带来相当利益的情况下,更应该注意。
三、应用程序
在应用程序上,不要使用现成的模板,特别是免费的,你能得到,大家都能得到,任何的程序理论上都是有漏洞的,如果一个程序使用者太多,并且找到漏洞后会获得很大利益,那就要注意。所谓无利不起早。每天关注访问日志,就能看到,大量的扫描程序访问,一般都是试图访问特定的程序或者文件,如果发现你在使用,并且还没有修补漏洞,那你就要小心了。
四、设计灵活的限制访问策略
虽然apache已经提供了强大的访问控制,但还不够灵活,最好自己能细粒度的控制访问策略,做到尽量让我们的客户能正常访问,拒绝大部分的恶意访问。
恶意访问,分为很多,比如盗链,会使用我们宝贵的带宽和服务器资源,为他人提供相关服务,但如果利用的好的话,反而会给我们带来流量,所谓魔高一尺,道高一丈。因为工作的关系,这个内容可以展开来说,找机会做个这方面的专题,展示几个花腐朽为神奇的例子。
还比如恶心抓取,盗用我们辛辛苦苦组织的内容。我们可以从ip上,访问频率上,随即的url参数上进行屏蔽,但主要是有可靠的发现机制。
五、服务器监控上
服务器监控是必不可少的,但不推荐使用复杂的监控软件,像nagios,主要是出于性能的考虑,本来服务器就不堪重负,再给他加上沉重的负担。
推荐可以自己写一些监控的shell脚本,都很简单的,检测几项关键的指标,比如cpu负载,内存使用率,硬盘读写高峰,网卡流量等。可以使用cron定期执行。
应用程序的运行情况,日志是必不可少的,运行期的日志一个检测程序运行状态,是否良好,二是在出错的时候,可以早到出错点,加以改正。
访问日志,是我们了解用户行为的唯一手段。是提升网站内容质量的关键指标依靠。网站的改版,功能的添加都要在分析日志基础上得出结论。
本次分享完毕,请期待我下一次分享。
本系列文章由阿土伯爆笑笑话()站长撰写,首发A5,转载请留链接
A5创业网 版权所有