关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

云服务器上会不会有很大的风险呢?

发布时间:2020-02-01 14:15:58

保护服务器安全至少与保护网站和API同样重要。如果他们所依赖的基础架构不牢固,那么您将没有安全的网站(或API)。接下来是一个服务器安全清单,其中包含您需要考虑的5种风险。

3.png

https://www.126vps.com/act/20191212

1.安全更新

许多漏洞的状态均为零时状态,即在软件供应商有机会填补漏洞之前就发现(并公开)了该漏洞。随后便进行了补丁竞赛(请参阅shellshock示例)。通常只需几个小时,公共漏洞就会变成恶意的自动化漏洞。这意味着,在获取安全更新时,必须“按一下按钮”。

您可能需要考虑自动安全更新(这是针对Ubuntu,Fedora,Red Hat&Centos 6和Centos 7的方法)。但是:请注意,如果自动更新在您不期望的时候发生或引起兼容性问题,则可能导致问题。例如,MySQL的自动更新将导致MySQL重新启动,这将终止所有打开的连接。

我们建议您将程序包管理器配置为仅下载升级(即不进行自动安装),然后发送常规通知以供您查看。我们的政策是每周监控安全列表并应用更新。除非该漏洞很严重,否则我们必须立即做出反应。

2.访问权限

合理化访问权限是关键的安全步骤。它可以防止用户和服务执行意外动作。这包括从删除“ root”帐户以使用SSH登录到禁用用于通常无法访问的默认帐户的Shell的所有内容。例如:

PostgreSQL真的需要/ bin / bash吗? 特权操作可以通过sudo完成吗? cron作业是否已锁定,以便仅特定用户可以访问它们? 3. SSH蛮力

僵尸程序最常见的攻击点是通过SSH暴力破解帐户。一些事情要看:

如上一节所述,必须禁用root帐户的远程登录,因为它是最容易受到攻击的帐户。 由于这些漫游器专门针对密码,因此您可以通过使用公共/专用密钥代替密码来减少攻击面。 您可以通过将SSH端口从默认的22更改为其他端口来进一步。当然,可以使用端口扫描程序显示新端口(您可能会考虑使用端口敲击插件),但是,Internet范围内的扫描程序是机会主义的,而且不会走得太远。 更为严厉的措施是阻止所有流量并将白名单中的IP列入白名单。问问自己,整个互联网是否需要访问您的服务器?

通常要注意的是,通过模糊性实现安全永远不是一个好目标,因此请注意引入不必要的复杂性。

4.文件系统权限

考虑这种情况。有人在Web应用程序的某些PHP脚本中发现了远程执行代码漏洞。该脚本由www-data用户提供。因此,黑客注入的任何代码也将由www-data执行。如果他们决定为持久性植入后门,那么最简单的方法就是编写另一个带有恶意代码的PHP文件,并将其放置在网站的根目录中。

如果www-data没有写访问权,则永远不会发生这种情况。通过限制每个用户和服务可以执行的操作(最小特权原则),您可以限制帐户遭到破坏时可能造成的任何损害(纵深防御)。

文件系统权限需要细化。需要考虑的一些示例:

www用户是否需要在webroot中写入文件? 您是否使用单独的用户从git存储库中提取文件?(我们强烈建议您不要通过github Checkout运行您的网站。) www用户是否需要列出webroot中的文件?

我们建议您花一些时间定期检查文件系统权限。


/template/Home/Zkeys2/PC/Static