web安全——系統(Linux)

来源:http://www.cnblogs.com/ansn001/archive/2016/06/30/5629729.html
-Advertisement-
Play Games

簡介 最小(少)原則,是安全的重要原則。最小的許可權,最小的用戶,最少的服務,最少的進程,是最安全的。 系統安全包括:文件系統保護、用戶管理安全、進程的保護以及日誌的管理。 場景 1. 確保服務最少,每個都是有用,而且許可權最小化。 2. 確保用戶最少,每個都是有用,而且許可權最小化。 3. 確保文件許可權 ...


簡介

最小(少)原則,是安全的重要原則。最小的許可權,最小的用戶,最少的服務,最少的進程,是最安全的。

系統安全包括:文件系統保護、用戶管理安全、進程的保護以及日誌的管理。

場景

  1. 確保服務最少,每個都是有用,而且許可權最小化。
  2. 確保用戶最少,每個都是有用,而且許可權最小化。
  3. 確保文件許可權最小。
  4. 及時更新補丁,解決漏洞。
  5. 規範好人為的因素。往往這個才是最大的隱患。

解決方案

最少服務

服務越少,漏洞越少,越不容易被攻擊,越安全。伺服器本身越封閉越安全。

最小安裝。

絕不安裝多餘的軟體,需要什麼安裝什麼。在安裝系統的時候就使用最小安裝。不要圖形界面,不要其他服務。

取消不必要的服務

即使做了最小安裝,還是有很多可能用不到的服務,建議也是關閉,除非真的有用。

# 查看哪些服務在運行
/sbin/chkconfig --list |grep 3:on
# 沒有使用的服務都可以考慮刪除。
chkconfig ip6tables off # ipv6
chkconfig auditd off #用戶空間監控程式
chkconfig autofs off #光碟軟盤硬碟等自動載入服務
...

禁止外來ping操作

[root@tp /]# vi /etc/rc.d/rc.local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

限制控制台的登錄

特別是關機和重啟的命令,太危險了。

rm -rf /etc/security/console.apps/
[root@tp /]# vi /etc/securetty
...
#我們註釋掉
tty1
# tty2
# tty3
# tty4
# tty5
# tty6
#只留下tty1,這時,root僅可在tty1終端登錄

刪除歷史記錄

防止賬號被攻破後丟失更多的信息。

[root@tp /]# vim ~/.bash_logout
# 在裡面添加命令
rm -rf  ~/.bash_history

最小用戶

使用的用戶許可權越小越安全。特別是有些軟體的漏洞可以直接獲取賬號執行許可權。一旦使用root啟動,就相當於伺服器的root直接被破解。
!千萬不要用root啟動軟體。

自動註銷

當我們登錄到Linux伺服器上操作完以後,應該退出當前用戶,否則可能會出現安全問題,特別是root用戶,一旦被盜用很可能造成不可輓回的損失

[root@tp /]# vim /etc/profile
# 在裡面添加
export TMOUT=300

設置口令複雜度

(授權完修改密碼會有影響嗎???這個需要測試)
定期修改密碼

# 一個是在/etc/login.defs文件,裡面幾個選項
PASS_MAX_DAYS 90 #密碼最長過期天數
PASS_MIN_DAYS 80 #密碼最小過期天數
PASS_MIN_LEN 10 #密碼最小長度
PASS_WARN_AGE 7 #密碼過期警告天數

清理沒有用的賬號

在想是不是註釋掉,還是直接刪除

# 需要刪除的用戶包括:
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel operator
userdel games
userdel ftp
userdel rpc
userdel rpcuser
userdel gopher
userdel nscd
# 需要刪除的組包括:
groupdel lp
groupdel news

使用sudo來使用root許可權

[root@tp /]#  /etc/sudoers
# 在 root ALL=(ALL) ALL 下麵添加一行
username  ALL=(ALL)   ALL
# 如果不想每次都輸入密碼可以用這一行
username ALL=(ALL) NOPASSWD:ALL 
exit 

最小文件許可權

原則:原則上不給任何許可權,只有需要的時候才添加許可權。能不給寫和執行的許可權,堅決不能給!!拒絕777的行為。
賦許可權的類型:

  1. 重要的系統目錄不可以修改
  2. 產品代碼只可以讀,不可以執行,不可以修改
  3. 需要上傳目錄,否則特別需要文件讀寫的目錄要單獨規劃好。
  4. 通過umask設置預設生成的文件和文件目錄的最小許可權。

更新補丁

建議做法:重裝系統,update,然後測試業務是否正常。不建議寫成定時去更新,容易引發軟體的衝突,導致業務不可用。
如果是線上的業務,可以通過集群和配置管理的方式,把部分伺服器更新。但是要做好計劃,不能盲目更新。

人為的因素

人才是系統安全最大的隱患。

  1. 每個人一個賬號。
  2. 每個角色一個組(比如:運維,開發)。這個需要進一步思考和細化。
  3. 不允許使用root,如果有需要使用sudo。(能不能粒度到組啊?)
  4. 把日常的運維操作,做成命令或者別名,減少人為操作。

驗證方法

  1. 文件是否被人篡改過 。Tripwire
  2. 密碼是否安全,是否容易被破解。John the Ripper。當然原則上通過防火牆來隔離更好,不允許其他網段ssh。
  3. 系統安全。Lynis是針對Unix/Linux的安全檢查工具,可以發現潛在的安全威脅。這個工具覆蓋可疑文件監測、漏洞、惡意程式掃描、配置錯誤等。
  4. 其他的場景,根據能不能操作來驗證。

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • Netty作為非同步的、事件驅動一個網路通信框架,使用它可以幫助我們快速開發高性能高可靠性的網路服務。 為了更好的使用Netty來解決開發中的問題,學習Netty是很有必要的。 Netty現在主流有三個版本:Netty3、Netty4、Netty5。這三個版本中,變化最大的要數線程模型了,各版本的線程 ...
  • 第一步 下載nodejs 訪問https://nodejs.org/en/download/url 根據您的系統是32位或64位,按照文字說明進行下載 第二步 安裝nodejs 雙擊運行nodejs的安裝包,並指定到一個nodejs目錄 第三步 調試nodejs安裝是否成功 我們在任何目錄新建一個h ...
  • 1.意圖 給定一個語言,定義它的文法的一種表示,並定義一個解釋器,這個解釋器使用該表示來解釋語言中的句子。 2.動機 如果一種特定類型的問題發生的頻率足夠高,那麼可能就值的將該問題的各個實例表述為一個簡單語言中的句子。這樣就可以構建一個解釋器,該解釋器通過解釋這些句子來解決該問題。 3.適用性 當一 ...
  • 問題: Character是角色類,是抽象類,由具體的角色來繼承,Weapon是武器介面,有具體的武器來實現。任何角色想換武器可以有setWeapon方法來實現,在角色fight過程中使用武器的useWeapon方法,進行攻擊。 UML: 策略模式: 定義了演算法族,分別封裝起來,讓他們之間可以互相替 ...
  • 說明 寫這個目錄是為了方便閱讀。也是為了記錄統一的問題。 這個系列,並不一定是全的,也不一定是對的,所以請大家多做過濾。 這裡面場景比較多的是本人在實踐中遇到的問題,然後自己思考抽象的。 目錄 1. "web安全——簡介" 2. "web安全——防火牆" 3. "web安全——系統(Linux)" ...
  • 簡介 數據安全是現在互聯網安全非常重要一個環節。而且一旦數據出現問題是不可逆的,甚至是災難性的。 有一些防護措施應該在前面幾個博文說過了,就不再贅述。比如通過防火牆控制,通過系統的用戶控制,通過web應用的控制等。 想說的是,任何一個節點都不是單獨存在的。 場景 1. 確保應用本身安全。 2. 控制 ...
  • 簡介 由於網路技術日趨成熟,黑客們也將註意力從以往對網路伺服器的攻擊逐步轉移到了對web應用的攻擊。據最新調查,信息安全有75%都發生在web應用而非網路層面。 場景 1. 控制訪問的許可權。只讓可以訪問的訪問到最小的資源和許可權。 2. 控制輸入內容。所有輸入都可能是不安全的,所以要過濾。 3. 保證 ...
  • 什麼是MVP?在“MVP初探”里就有講過了,就是一種UI的架構模式。 什麼是Unity、PIAB、Exception Handling?可以去Bing一下。 為使M/V/P之間更好的解耦,我們通過引入Enterprise Library的Exception Handling Application ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...