共享网站服务器的安全保护知识
浏览:310 时间:2022-6-26

在这里,我想和大家分享一下我对服务器安全的认识。虽然很早以前就想过黑客,因为各种原因没有做黑客,但是一直关注服务器安全领域。

很久以前,我设置服务器只是为了测试我学到的知识点,但我并没有太注意安全性。服务器总是受到各种各样的攻击,我当时也没怎么注意。之后,我真的用服务器搭建了一个正式的网站,才感受到安全问题的紧迫性。当时服务器买的比较早,用在web环境的书房相信大家对这个环境都很熟悉,一键相对方便智能。开始时,会有一个默认设置界面,提示您配置成功。其实这只是一个测试界面,有很多敏感的数据信息,也有很多漏洞可以注入。无论是iis还是tomcat,默认设置界面都必须在短时间内删除。

配置mysql数据库查询时,切记不要将端口设置为3306,因为默认端口号会导致入侵。我必须写一个不可预测的端口号。登录密码不能是默认登录密码,如123456。应该是尽可能的复杂和多样化(我有一个朋友在数据库查询的时候没有登录密码,然后就被当成肉鸡处理了一次,一个月的服务器数据流就消失了……)。还需要关闭数据库查询的远程登录功能。时刻关注管理员账户,立即清理多余账户。有时攻击者可能会留下一个隐藏的帐户。正常开发维护尽量不要使用超级管理员账号。登录密码应该尽可能复杂,并经常更改。

如果你刚学会使用网站服务器,或者建议安装一个防护软件,很多注册表规则和系统权限都不需要自己配置。防护软件很多,最好手动部署和加固。如果不明白这一点,可以向专业的网站安全公司求助,比如SINE安全、鹰盾安全、启明星辰, 绿盟等。我没有立即配置服务器的环境。现在,把它写下来。以下是对用户访问权限的控制。在编写apache部署时也讨论了具体的访问控制。总之,尽量写下严格的准入规则。事实上,有些配置,比如防止暴力破解和DDOS,最好由机房的硬防御来处理。数据库查询的登录用户不应该使用超级管理员权限,web服务应该分配任何必要的权限,以便在管理后台隐藏错误信息。

仅仅知道服务器的运维是不够的,还需要研发(发现常见的安全问题,首先要骂服务器运维人员…其实研发上有疏忽,但一定要看是什么样的安全问题)。

用户的get提交的参数限制不应该只在web的前端。那些真正想攻击网站的人无疑不会在网页上填写一些代码。后台管理要有严格的限制,文件上传可以设置文件夹目录的执行权限。我通常会对前端用户传递的参数进行严格的限制。例如,在后台管理界面中使用的参数都是英文字母或数字,因此我只能通过常规匹配来匹配我需要的英文字母或数字。这里我们还需要了解一些常见的黑客方法,比如XSS、CSRF、sql注入等。一般来说,数据库的查询注入通常是有害的,可以利用pDO的关联查询来处理注入问题。当然,它也可以对数据信息进行去正则化和限制,对其进行转义或编码存储。对于用户的登录密码,采用md5加密和变多模式的加密算法。

记住,不要相信用户输入的数据信息。

其实我说的只是一小部分安全常识,也是最基本的。这也是我在开发运维的时候总结的一些知识点。都是些零碎的东西。我记得它不是很完整。想到就加~