2
terry 2012-12-27 05:15:47 +08:00 3
可以搜索一些 Linux Security Best Practice 核心是 SSH (sshguard/fail2ban)连接,文件/目录权限(suid/sgid),用户权限隔离,用 LXC 隔离容易受到攻击的服务,最小化系统(包)和服务,配置 iptables 规则等等,实际上可以做的很多,视实际情况而定。一般公司,或者 SA/SRE/DevOps 都有自己的 guideline 参考。
推荐 NSA 的 cheat sheat 和 Security Guide http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf http://www.nsa.gov/ia/_files/os/redhat/NSA_RHEL_5_GUIDE_v4.2.pdf |
3
Livid MOD * 禁用密码登录,只开证书登录
* 只开需要的端口,比如网站的话就只需要 22,80 和 443。Ubuntu 可以用 ufw,其他 OS 可以用 apf * 不要用 FTP 更新网站 * 最好能让机房为你提供常见的 DDoS 攻击保护——UDP Flood,SYN Flood 等 * 部署 DDoS Deflate 脚本 http://deflate.medialayer.com/ |
6
Gawie 2012-12-30 18:23:10 +08:00
其实这段时间也是被入侵,在知乎和V2上面翻看很多,貌似目前对有价值的内容都来源于这两个网站,对于web程序和 LINUX 服务器安全管理的文章并不多, 这篇是前段时间V2一篇帖子,你可以看看:http://www.v2ex.com/t/46512
很多人提到iptable,和用户权限隔离,对于新手来讲,iptable配置可以找到一些常用的方法,但是用户隔离试着GG找了很久,没有一些适合新手的办法,DDOS就不说了吧,这个离新手更远。 @Livid L大,有没有一些有价值的文章,GG搜索来的貌似都是很早以前的,近期的一些有价值的文章不是太容易找,希望能推荐一些有价值的文章或者博客,类似常规的web,注入,XSS,CSRF和linux安全配置和防御相关的.... @Livid |
7
terry 2012-12-31 09:01:03 +08:00
@Gawie rsync over SSH 最好,scp/sftp也行,不喜欢命令行的可以用 FileZilla ;-)
关于隔离,看 cgroup 推荐用 LXC - Linux Containers |
8
asing 2012-12-31 09:44:09 +08:00
不用FTP更新要怎么操作?
|
9
anyforever 2012-12-31 10:08:39 +08:00
|
10
Gawie 2012-12-31 10:44:43 +08:00 via iPad
@terry linux以来一直是用filezilla, 不过连接都是root,有影响么?权限方面?现在对于nginx下用户权限很迷惑。
|
11
terry 2012-12-31 17:24:22 +08:00
@Gawie 对 nginx 不是特别熟,不好评论。
不过 apache 的话,用 root rsync/scp 也没关系,之后 chown -R 给专门跑 http server 的用户和组就行了,不知道 nginx 对权限有什么特别的需求。 |
12
Yooguo 2012-12-31 18:42:13 +08:00
@Gawie 禁用root是必须的 肯定有影响 禁用之后选择其他账户登录之后su -l root
google一下nginx 禁用root 就知道怎么操作了 |
13
Gawie 2012-12-31 19:40:36 +08:00
|
14
Yooguo 2012-12-31 21:39:26 +08:00
@Gawie Linux的默认管理员名即是root,只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性。
每一个攻击者都知道系统中存在一个root帐户,但是他不知到其他存在的帐户。禁用root帐户使攻击变得更加复杂。 相关 http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&tbo=d&q=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&oq=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&gs_l=serp.3...5272.6982.0.7186.9.9.0.0.0.0.272.1159.0j4j2.6.0...0.0...1c.1j4.Mzxcm4e_O4A |