如何對伺服器進行脆弱性審查
『壹』 伺服器被攻擊怎麼辦
主機上防範 2.1.1使用網路和主機掃描工具檢測脆弱性 DDoS能夠成功的關鍵是在Internet上尋找到大量安全防禦措施薄弱的計算機。因此,經常使用安全檢測工具檢測網路和主機,找出目前存在的安全隱患並給出相應的應對措施,可以減少甚至避免主機被黑客利用成為傀儡機的可能性。安全掃描工具能夠檢測並刪除主機上被黑客安裝的進行DDoS攻擊的軟體。安全掃描工具應該隨著攻擊方式的演變而升級。 2.1.2採用NIDS和嗅探器 當系統收到未知地址的可疑流量時,NIDS(Network Intrusion Detection Systems,網路入侵檢測系統)會發出報警信號, 提醒系統管理員及時採取應對措施,如切斷連接或反向跟蹤等。NIDS的安全策略或規則應該是最新的,並包含當前最新攻擊技術的特徵描述。 嗅探器(sniffer)可用來在網路級識別網路攻擊..
『貳』 linux 伺服器 如何進行安全檢查
眾所周知,網路安全是一個非常重要的課題,而伺服器是網路安全中最關鍵的環節。linux被認為是一個比較安全的Internet伺服器,作為一種開放源代碼操作系統,一旦linux系統中發現有安全漏洞,Internet上來自世界各地的志願者會踴躍修補它。然而,系統管理員往往不能及時地得到信息並進行更正,這就給黑客以可乘之機。相對於這些系統本身的安全漏洞,更多的安全問題是由不當的配置造成的,可以通過適當的配置來防止。伺服器上運行的服務越多,不當的配置出現的機會也就越多,出現安全問題的可能性就越大。對此,下面將介紹一些增強linux/Unix伺服器系統安全性的知識。 一、系統安全記錄文件 操作系統內部的記錄文件是檢測是否有網路入侵的重要線索。如果您的系統是直接連到Internet,您發現有很多人對您的系統做Telnet/ftp登錄嘗試,可以運行"#more/var/log/securegreprefused"來檢查系統所受到的攻擊,以便採取相應的對策,如使用SSH來替換Telnet/rlogin等。 二、啟動和登錄安全性 1 #echo》/etc/issue 然後,進行如下操作: #rm-f/etc/issue #rm-f/etc/issue 三、限制網路訪問 1(ro,root_squash) /dir/to/exporthost2(ro,root_squash) /dir/to/export是您想輸出的目錄,host是登錄這個目錄的機器名,ro意味著mount成只讀系統,root_squash禁止root寫入該目錄。為了使改動生效,運行如下命令。 #/usr/sbin/exportfs-a 2"表示允許IP地址192允許通過SSH連接。 配置完成後,可以用tcpdchk檢查: #tcpdchk tcpchk是TCP_Wrapper配置檢查工具,它檢查您的tcpwrapper配置並報告所有發現的潛在/存在的問題。 3.登錄終端設置 /etc/securetty文件指定了允許root登錄的tty設備,由/bin/login程序讀取,其格式是一個被允許的名字列表,您可以編輯/etc/securetty且注釋掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 這時,root僅可在tty1終端登錄。 4.避免顯示系統和版本信息。 如果您希望遠程登錄用戶看不到系統和版本信息,可以通過一下操作改變/etc/inetd.conf文件: telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不顯示系統信息,而僅僅顯示"login:" 四、防止攻擊 1.阻止ping如果沒人能ping通您的系統,安全性自然增加了。為此,可以在/etc/rc.d/rc.local文件中增加如下一行:
『叄』 Windows伺服器如何做好安全防護
1.修改windows遠程連接埠,非默認3389。
2.開啟防火牆,修改遠程登錄密碼,定期修改。不要嫌麻煩。
3.安裝下伺服器安全狗,開啟防護,能簡單的抗攻擊。
4.盡量不要在瀏覽器裡面下載垃圾軟體。
『肆』 伺服器有哪些安全設置
1)、系統安全基本設置
1.安裝說明:系統全部NTFS格式化,重新安裝系統(採用原版win2003),安裝殺毒軟體(Mcafee),並將殺毒軟體更新,安裝sp2補釘,安裝IIS(只安裝必須的組件),安裝sql2000,安裝.net2.0,開啟防火牆。並將伺服器打上最新的補釘。
2)、關閉不需要的服務
Computer Browser:維護網路計算機更新,禁用
Distributed File System: 區域網管理共享文件,不需要禁用
Distributed linktracking client:用於區域網更新連接信息,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有列印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助 其他服務有待核查
3)、設置和管理賬戶
1、將Guest賬戶禁用並更改名稱和描述,然後輸入一個復雜的密碼
2、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好採用數字加大小寫字母加數字的上檔鍵組合,長度最好不少於10位
3、新建一個名為Administrator的陷阱帳號,為其設置最小的許可權,然後隨便輸入組合的最好不低於20位的密碼
4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為「三次登陸無效 時間為30分鍾
5、在安全設置-本地策略-安全選項中將「不顯示上次的用戶名」設為啟用
6、 在安全設置-本地策略-用戶權利分配中將「從網路訪問此計算機」中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶
7、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
4)、打開相應的審核策略
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
5)、 其它安全相關設置
1、禁止C$、D$、ADMIN$一類的預設共享
HKEY_LOCAL_,在右邊的 窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏: 「HKEY_LOCAL_-VersionExplorerAdvancedFol derHi-ddenSHOWALL」,滑鼠右擊「CheckedValue」,選擇修改,把數值由1改為0
4、防止SYN洪水攻擊
HKEY_LOCAL_ 新建DWORD 值,名為SynAttackProtect,值為2
5、 禁止響應ICMP路由通告報文
HKEY_LOCAL_Interfacesinterface 新建DWORD值,名為PerformRouterDiscovery 值為0
6. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_ 將EnableICMPRedirects 值設為0
7、 不支持IGMP協議
HKEY_LOCAL_ 新建DWORD 值,名為IGMPLevel 值為0
8、禁用DCOM:運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子 文件夾。
對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬 性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。
9、終端服務的默認埠為3389,可考慮修改為別的埠。
修改方法為: 伺服器端:打開注冊表,在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」 處找到類似RDP-TCP的子鍵,修改PortNumber值。 客戶端:按正常步驟建一個客戶端連接,選中這個連接,在「文件」菜單中選擇導出,在指定位置會 生成一個後綴為.cns的文件。打開該文件,修改「Server Port」值為與伺服器端的PortNumber對應的 值。然後再導入該文件(方法:菜單→文件→導入),這樣客戶端就修改了埠。
6)、配置 IIS 服務
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4、刪除不必要的IIS擴展名映射。 右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑 右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數據包進行分析並可以拒絕任何可疑的通信量。 目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。 如果沒有特殊的要求採用UrlScan默認配置就可以了。 但如果你在伺服器運行ASP.NET程序,並要進行調試你需打開要 %WINDIR%System32InetsrvURLscan,文件夾中的URLScan.ini 文件,然後在UserAllowVerbs節添 加debug謂詞,注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改後,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset 如果你在配置後出現什麼問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
7)、配置Sql伺服器
1、System Administrators 角色最好不要超過兩個
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
use master sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑,刪除 訪問注冊表的存儲過程,
刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改默認的1433埠
右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,並改原默 認的1433埠。
8)、修改系統日誌保存地址 默認位置為 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%\system32\config,默認 文件大小512KB,管理員都會改變這個默認大小。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT 系統日誌文件:%systemroot%\system32\config\SysEvent.EVT 應用程序日誌文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個日 志 Internet信息服務WWW日誌默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日 志 Scheler(任務計劃)服務日誌默認位置:%systemroot%\schedlgu.txt 應用程序日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日誌在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0
禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動
9)、本地安全策略
1.只開放服務需要的埠與協議。 具體方法為:按順序打開「網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性」,添加需要的TCP、UDP埠以及IP協議即可。根據服務開設口,常用的TCP 口有:80口用於Web服務;21用於FTP服務;25口用於SMTP;23口用於Telnet服務;110口 用於POP3。常用的UDP埠有:53口-DNS域名解析服務;161口-snmp簡單的網路管理協議。 8000、4000用於OICQ,伺服器用8000來接收信息,客戶端用4000發送信息。 封TCP埠: 21(FTP,換FTP埠)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP埠:1080,3128,6588,8080(以上為代理埠).25(SMTP),161(SNMP),67(引導) 封UDP埠:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的埠,有別的同樣也封,當然因為80是做WEB用的
2、禁止建立空連接 默認情況下,任何用戶可通過空連接連上伺服器,枚舉賬號並猜測密碼。空連接用的埠是139, 通過空連接,可以復制文件到遠端伺服器,計劃執行一個任務,這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
(2) 修改Windows 2000的本地安全策略。設置「本地安全策略→本地策略→選項」中的 RestrictAnonymous(匿名連接的額外限制)為「不容許枚舉SAM賬號和共享」。 首先,Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表,這本來 是為了方便區域網用戶共享資源和文件的,但是,同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表,並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接, 實際上Windows 2000的本地安全策略里(如果是域伺服器就是在域伺服器安全和域安全策略里) 就有RestrictAnonymous選項,其中有三個值:「0」這個值是系統默認的,沒有任何限制,遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum)等;「1」 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;「2」這個值只有Windows 2000才支 持,需要注意的是,如果使用了這個值,就不能再共享資源了,所以還是推薦把數值設為「1」比較 好。
10)、防止asp木馬
1、基於FileSystemObject組件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除
2.基於shell.application組件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除
3.將圖片文件夾的許可權設置為不允許運行。
4.如果網站中不存在有asp的話,禁用asp
11)、防止SQL注入
1.盡量使用參數化語句
2.無法使用參數化的SQL使用過濾。
3.網站設置為不顯示詳細錯誤信息,頁面出錯時一律跳轉到錯誤頁面。
4.不要使用sa用戶連接資料庫
5、新建一個public許可權資料庫用戶,並用這個用戶訪問資料庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問許可權
最後強調一下,以上設置可能會影響到有些應用服務,例如導至不能連接上遠程伺服器,
因此強烈建議,以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置,確定沒事之後然後再在伺服器上做。
『伍』 如何保證Web伺服器安全
一、在代碼編寫時就要進行漏洞測試。
二、對Web伺服器進行持續的監控。
三、設置蜜罐,將攻擊者引向錯誤的方向。
四、專人對Web伺服器的安全性進行測試。
『陸』 如何有效地保護常規伺服器免受攻擊
1、監控您的獨立伺服器流量
為了了解您的獨立伺服器是否受到攻擊,您需要熟悉典型的流量模式。網路流量的高峰可以成為正常業務過程的一部分。廣告、促銷和活動都可以增加您網站的訪問量。一旦發現您的香港伺服器持續出現過高異常流量,那麼你很可能正遭受DDoS攻擊。DDoS攻擊者通常會在其主要進攻之前進行小規模入侵。
無論他們的動機如何,攻擊者(通常包括您的商業競爭對手)通常都會瞄準可以造成最大傷害的時間。例如您產生大量流量的日子,如雙 11或大肆促銷時,是黑客攻擊的理想時間。深入了解您的正常流量可以幫助您識別正常發生的任何異常峰值,並提醒您的技術團隊注意潛在的攻擊。
2、配置更高網路資源
選擇獨立伺服器時,瞄準那些給予帶寬更高的機型。為您的獨立伺服器提供充足的網路容量,是您的網站准備應對潛在DDoS攻擊的另一個重要組成部分。配置更高帶寬可以在發生攻擊時為您的站點提供一個小而有用的緩沖區。通過確保過多的網路容量來適應大的流量激增,可以獲得珍貴的分鍾數。我們建議您的網路能夠容納正常流量的2-6倍。
但是,無論您為網路配置得多好,如果您的獨立伺服器租用服務商沒有容量,DDoS攻擊仍然會對您的產品或服務產生重大影響。因此選擇獨立伺服器租用時,請確保您的服務商擁有處理大規模DDoS攻擊所需的資源,例如億恩科技高防線路,這將確保在發生大規模攻擊時不會浪費您的預防措施。
3、保持警惕
短期的成功往往會滋生自滿情緒,導致公司失去安全措施。這使他們極易受到攻擊。檢查最強大的網路組件是否存在缺陷是至關重要的。在您最成功的領域中進行失敗分析似乎違反直覺,但這對於加強您的網路並為攻擊的可能性做准備至關重要。
4、利用高防伺服器
在高防伺服器上託管您的產品或服務是保護您的產品免受DDoS攻擊的關鍵因素。高防伺服器接入高防線路,可防禦高達 300Gbps 以上規模的DDoS攻擊及其他流量攻擊,且支持壓力測試,承諾防禦無效按天退款,更有資深專家全程協助防護,可保障你的網站即使面臨特大攻擊也能穩定運行。
5、安裝更新,因為它們可用
保持應用程序更新是網路安全的重要組成部分,往往被忽視。DDoS 攻擊通常針對最近發現的安全漏洞。在WordPress等開源平台上安裝更新後,會立即為您提供最新、最安全的版本。雖然經常忽略更新,但選擇最新版本可以修補和消除以前暴露的任何安全漏洞。設置更新以自動安裝將確保您始終配備最安全的應用程序。
『柒』 伺服器安全應該注意哪些方面
技術在近年來獲得前所未有的增長。雲技術如今已被運用到銀行、學校、政府以及大量的商業組織。但是雲計算也並非萬能的,和其他IT部署架構一樣存在某些難以彌補的缺陷。例如公有雲典型代表:伺服器,用戶數據存儲在雲計算基礎平台的存儲系統中,但敏感的信息和應用程序同樣面臨著網路攻擊和黑客入侵的威脅。以下就是壹基比小喻要講的伺服器面臨的九大安全威脅。
哪些因素會對伺服器安全有危害?
一、數據漏洞
雲環境面臨著許多和傳統企業網路相同的安全威脅,但由於極大量的數據被儲存在伺服器上,伺服器供應商則很可能成為盜取數據的目標。供應商通常會部署安全控制項來保護其環境,但最終還需要企業自己來負責保護雲中的數據。公司可能會面臨:訴訟、犯罪指控、調查和商業損失。
二、密碼和證書
數據漏洞和其他攻擊通常來源於不嚴格的認證、較弱的口令和密鑰或者證書管理。企業應當權衡集中身份的便利性和使儲存地點變成攻擊者首要目標的風險性。使用伺服器,建議採用多種形式的認證,例如:一次性密碼、手機認證和智能卡保護。
三、界面和API的入侵
IT團隊使用界面和API來管理和與伺服器互動,包括雲的供應、管理、編制和監管。API和界面是系統中最暴露在外的一部分,因為它們通常可以通過開放的互聯網進入。伺服器供應商,應做好安全方面的編碼檢查和嚴格的進入檢測。運用API安全成分,例如:認證、進入控制和活動監管。
四、已開發的系統的脆弱性
企業和其他企業之間共享經驗、資料庫和其他一些資源,形成了新的攻擊對象。幸運的是,對系統脆弱性的攻擊可以通過使用「基本IT過程」來減輕。盡快添加補丁——進行緊急補丁的變化控制過程保證了補救措施可以被正確記錄,並被技術團隊復查。容易被攻擊的目標:可開發的bug和系統脆弱性。
五、賬戶劫持
釣魚網站、詐騙和軟體開發仍舊在肆虐,伺服器又使威脅上升了新的層次,因為攻擊者一旦成功**、操控業務以及篡改數據,將造成嚴重後果。因此所有雲伺服器的管理賬戶,甚至是服務賬戶,都應該形成嚴格監管,這樣每一筆交易都可以追蹤到一個所有者。關鍵點在於保護賬戶綁定的安全認證不被竊取。有效的攻擊載體:釣魚網站、詐騙、軟體開發。
六、居心叵測的內部人員
內部人員的威脅來自諸多方面:現任或前員工、系統管理者、承包商或者是商業夥伴。惡意的來源十分廣泛,包括竊取數據和報復。單一的依靠伺服器供應商來保證安全的系統,例如加密,是最為危險的。有效的日誌、監管和審查管理者的活動十分重要。企業必須最小化暴露在外的訪問:加密過程和密鑰、最小化訪問。
七、APT病毒
APT通過滲透伺服器中的系統來建立立足點,然後在很長的一段時間內悄悄地竊取數據和知識產權。IT部門必須及時了解最新的高級攻擊,針對伺服器部署相關保護策略(ID:ydotpub)。此外,經常地強化通知程序來警示用戶,可以減少被APT的迷惑使之進入。進入的常見方式:魚叉式網路釣魚、直接攻擊、USB驅動。
八、永久性的數據丟失
關於供應商出錯導致的永久性數據丟失的報告已經鮮少出現。但居心叵測的黑客仍會採用永久刪除雲數據的方式來傷害企業和雲數據中心。遵循政策中通常規定了企必須保留多久的審計記錄及其他文件。丟失這些數據會導致嚴重的監管後果。建議雲伺服器供應商分散數據和應用程序來加強保護:每日備份、線下儲存。
九、共享引發潛在危機
共享技術的脆弱性為伺服器帶來了很大的威脅。伺服器供應商共享基礎設施、平台以及應用程序,如果脆弱性出現在任何一層內,就會影響所有。如果一個整體的部分被損壞——例如管理程序、共享的平台部分或者應用程序——就會將整個環境暴露在潛在的威脅和漏洞下
『捌』 如何做好伺服器安全維護
近期接到很多站長的求助,伺服器被黑,網站被掛馬,快照被劫持等等。
在這里,我們(南昌壹基比)給大家講下加強伺服器和網站安全的方法。
一、關閉不常用的伺服器埠
1、我們網站用戶常用的埠一般有:FTP(21)、SSH(22)、遠程桌面(3389)、http(80)、https(443),以及部分管理面板需要使用到的特殊埠。如:寶塔(8888)等等 在這里,如果是網站用戶除了http(80)是必須常開的,其他的埠都可以在需要使用的時候再打開,使用完畢後立即關閉。
2、如果你使用了伺服器管理面板(linux),比如wdcp,wdcp默認的埠是8080,強烈建議你在wdcp後台修改默認的埠。(防止被惡意連接)
3、如果你使用的是windows系統的伺服器,我也強烈建議你修改windows系統默認的遠程連接埠。
4、FTP(21)是用來上傳網站源碼使用的,在不使用的情況下最好關閉掉,避免暴力破解等操作。
二、謹慎安裝不明來源的程序、插件
從互聯網下載的程序、插件,我們不敢保證100%的可信,所以請不要隨意安裝不明來源的程序和插件。一旦這些程序、插件帶有後門,那麼你的伺服器可能就GG了。
作為使用discuz的站長,插件、模板等盡量從discuz官方應用中心下載安裝,畢竟這些應用都是經過discuz應用中心審核過的,安全性有一定的保證。
使用wordpress的站長,安裝模板和插件時,先搜下wordpress後台的插件中心中是否有你需要的插件,如果沒有,再考慮從值得信賴的第三方網站下載插件。其他程序同理!
三、有條件的站長們可以考慮站庫分離(網站程序和資料庫分開來放置)
四、web伺服器磁碟許可權要做好。
刪除不必要的用戶,如:everyone(所有人,危險程度5星~)可以只保留administrator、system以及網站用戶即可
五、市面上有很多網站加固安全軟體可以適當安裝。
但是優化過程中要慎重,避免優化過度導致網站打開出問題。
六、定期對網站以及資料庫做備份。
(有條件的話異地備份最好)避免伺服器硬碟掛掉導致所有的辛苦付之一炬~
七、保存好伺服器的密碼和網站、資料庫密碼。
密碼要定期修改,盡可能的復雜一些
八、伺服器漏洞補丁修復。
有很多站長可能對補丁會有所忽略,補丁其實是重中之重,很多入侵者都是針對系統漏洞進行入侵
『玖』 如何檢查Linux系統伺服器的安全性
但由於該操作系統是一個多用戶操作系統,黑客們為了在攻擊中隱藏自己,往往會選擇 Linux作為首先攻擊的對象。那麼,作為一名Linux用戶,我們該如何通過合理的方法來防範Linux的安全呢?下面筆者搜集和整理了一些防範 Linux安全的幾則措施,現在把它們貢獻出來,懇請各位網友能不斷補充和完善。 1、禁止使用Ping命令Ping命令是計算機之間進行相互檢測線路完好的一個應用程序,計算機間交流數據的傳輸沒有 經過任何的加密處理,因此我們在用ping命令來檢測某一個伺服器時,可能在網際網路上存在某個非法分子,通過專門的黑客程序把在網路線路上傳輸的信息中途 竊取,並利用偷盜過來的信息對指定的伺服器或者系統進行攻擊,為此我們有必要在Linux系統中禁止使用Linux命令。在Linux里,如果要想使 ping沒反應也就是用來忽略icmp包,因此我們可以在Linux的命令行中輸入如下命令: echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢復使用ping命令,就可以輸入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意對系統及時備份為了防止系統在使用的過程中發生以外情況而難以正常運行,我們應該對Linux完好的系統進 行備份,最好是在一完成Linux系統的安裝任務後就對整個系統進行備份,以後可以根據這個備份來驗證系統的完整性,這樣就可以發現系統文件是否被非法修 改過。如果發生系統文件已經被破壞的情況,也可以使用系統備份來恢復到正常的狀態。備份信息時,我們可以把完好的系統信息備份在CD-ROM光碟上,以後 可以定期將系統與光碟內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高,那麼可以將光碟設置為可啟動的並且將驗證工作作為系統啟 動過程的一部分。這樣只要可以通過光碟啟動,就說明系統尚未被破壞過。 3、改進登錄伺服器將系統的登錄伺服器移到一個單獨的機器中會增加系統的安全級別,使用一個更安全的登錄伺服器 來取代Linux自身的登錄工具也可以進一步提高安全。在大的Linux網路中,最好使用一個單獨的登錄伺服器用於syslog服務。它必須是一個能夠滿 足所有系統登錄需求並且擁有足夠的磁碟空間的伺服器系統,在這個系統上應該沒有其它的服務運行。更安全的登錄伺服器會大大削弱入侵者透過登錄系統竄改日誌 文件的能力。 4、取消Root命令歷史記錄在Linux下,系統會自動記錄用戶輸入過的命令,而root用戶發出的命令往往具有敏感的 信息,為了保證安全性,一般應該不記錄或者少記錄root的命令歷史記錄。為了設置系統不記錄每個人執行過的命令,我們可以在Linux的命令行下,首先 用cd命令進入到/etc命令,然後用編輯命令來打開該目錄下面的profile文件,並在其中輸入如下內容: HISTFILESIZE=0
HISTSIZE=0當然,我們也可以直接在命令行中輸入如下命令: ln -s /dev/null ~/.bash_history5、為關鍵分區建立只讀屬性Linux的文件系統可以分成幾個主要的分區,每個分區分別進行不同的配置和安裝,一般情況 下至少要建立/、/usr/local、/var和/home等分區。/usr可以安裝成只讀並且可以被認為是不可修改的。如果/usr中有任何文件發生 了改變,那麼系統將立即發出安全報警。當然這不包括用戶自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡 量將它們設置為只讀,並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。 當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等,其自身的性質就決定了不能將它們設置為只讀,但應該不允許它具有執行許可權。 6、殺掉攻擊者的所有進程假設我們從系統的日誌文件中發現了一個用戶從我們未知的主機登錄,而且我們確定該用戶在這台 主機上沒有相應的帳號,這表明此時我們正在受到攻擊。為了保證系統的安全被進一步破壞,我們應該馬上鎖住指定的帳號,如果攻擊者已經登錄到指定的系統,我 們應該馬上斷開主機與網路的物理連接。如有可能,我們還要進一步查看此用戶的歷史記錄,再仔細查看一下其他用戶是否也已經被假冒,攻擊者是否擁有有限權 限;最後應該殺掉此用戶的所有進程,並把此主機的IP地址掩碼加入到文件hosts.deny中。 7、改進系統內部安全機制我們可以通過改進Linux操作系統的內部功能來防止緩沖區溢出,從而達到增強Linux系 統內部安全機制的目的,大大提高了整個系統的安全性。但緩沖區溢出實施起來是相當困難的,因為入侵者必須能夠判斷潛在的緩沖區溢出何時會出現以及它在內存 中的什麼位置出現。緩沖區溢出預防起來也十分困難,系統管理員必須完全去掉緩沖區溢出存在的條件才能防止這種方式的攻擊。正因為如此,許多人甚至包括 Linux Torvalds本人也認為這個安全Linux補丁十分重要,因為它防止了所有使用緩沖區溢出的攻擊。但是需要引起注意的是,這些補丁也會導致對執行棧的 某些程序和庫的依賴問題,這些問題也給系統管理員帶來的新的挑戰。 8、對系統進行跟蹤記錄為了能密切地監視黑客的攻擊活動,我們應該啟動日誌文件,來記錄系統的運行情況,當黑客在攻 擊系統時,它的蛛絲馬跡都會被記錄在日誌文件中的,因此有許多黑客在開始攻擊系統時,往往首先通過修改系統的日誌文件,來隱藏自己的行蹤,為此我們必須限 制對/var/log文件的訪問,禁止一般許可權的用戶去查看日誌文件。當然,系統中內置的日誌管理程序功能可能不是太強,我們應該採用專門的日誌程序,來 觀察那些可疑的多次連接嘗試。另外,我們還要小心保護好具有根許可權的密碼和用戶,因為黑客一旦知道了這些具有根許可權的帳號後,他們就可以修改日誌文件來隱 藏其蹤跡了。 9、使用專用程序來防範安全有時,我們通過人工的方法來監視系統的安全比較麻煩,或者是不周密,因此我們還可以通過專業 程序來防範系統的安全,目前最典型的方法為設置陷井和設置蜜罐兩種方法。所謂陷井就是激活時能夠觸發報警事件的軟體,而蜜罐(honey pot)程序是指設計來引誘有入侵企圖者觸發專門的報警的陷井程序。通過設置陷井和蜜罐程序,一旦出現入侵事件系統可以很快發出報警。在許多大的網路中, 一般都設計有專門的陷井程序。陷井程序一般分為兩種:一種是只發現入侵者而不對其採取報復行動,另一種是同時採取報復行動。 10、將入侵消滅在萌芽狀態入侵者進行攻擊之前最常做的一件事情就是端號掃瞄,如果能夠及時發現和阻止入侵者的端號掃瞄 行為,那麼可以大大減少入侵事件的發生率。反應系統可以是一個簡單的狀態檢查包過濾器,也可以是一個復雜的入侵檢測系統或可配置的防火牆。我們可以採用諸 如Abacus Port Sentry這樣專業的工具,來監視網路介面並且與防火牆交互操作,最終達到關閉埠掃瞄攻擊的目的。當發生正在進行的埠掃瞄時,Abacus Sentry可以迅速阻止它繼續執行。但是如果配置不當,它也可能允許敵意的外部者在你的系統中安裝拒絕服務攻擊。正確地使用這個軟體將能夠有效地防止對 端號大量的並行掃瞄並且阻止所有這樣的入侵者。 11、嚴格管理好口令前面我們也曾經說到過,黑客一旦獲取具有根許可權的帳號時,就可以對系統進行任意的破壞和攻 擊,因此我們必須保護好系統的操作口令。通常用戶的口令是保存在文件/etc/passwd文件中的,盡管/etc/passwd是一個經過加密的文件, 但黑客們可以通過許多專用的搜索方法來查找口令,如果我們的口令選擇不當,就很容易被黑客搜索到。因此,我們一定要選擇一個確保不容易被搜索的口令。另外,我們最好能安裝一個口令過濾工具,並借用該工具來幫助自己檢查設置的口令是否耐得住攻擊。
『拾』 漏洞檢測的幾種方法
系統安全漏洞,也可以稱為系統脆弱性,是指計算機系統在硬體、軟體、協議的設計、具體實現以及系統安全策略上存在的缺陷和不足。系統脆弱性是相對系統安全而言的,從廣義的角度來看,一切可能導致系統安全性受影響或破壞的因素都可以視為系統安全漏洞。安全漏洞的存在,使得非法用戶可以利用這些漏洞獲得某些系統許可權,進而對系統執行非法操作,導致安全事件的發生。漏洞檢測就是希望能夠防患於未然,在漏洞被利用之前發現漏洞並修補漏洞。本文作者通過自己的實踐,介紹了檢測漏洞的幾種方法。 漏洞檢測可以分為對已知漏洞的檢測和對未知漏洞的檢測。已知漏洞的檢測主要是通過安全掃描技術,檢測系統是否存在已公布的安全漏洞;而未知漏洞檢測的目的在於發現軟體系統中可能存在但尚未發現的漏洞。現有的未知漏洞檢測技術有源代碼掃描、反匯編掃描、環境錯誤注入等。源代碼掃描和反匯編掃描都是一種靜態的漏洞檢測技術,不需要運行軟體程序就可分析程序中可能存在的漏洞;而環境錯誤注入是一種動態的漏洞檢測技術,利用可執行程序測試軟體存在的漏洞,是一種比較成熟的軟體漏洞檢測技術。 安全掃描 安全掃描也稱為脆弱性評估(Vulnerability Assessment),其基本原理是採用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測,可以對工作站、伺服器、交換機、資料庫等各種對象進行安全漏洞檢測。 到目前為止,安全掃描技術已經達到很成熟的地步。安全掃描技術主要分為兩類:基於主機的安全掃描技術和基於網路的安全掃描技術。按照掃描過程來分,掃描技術又可以分為四大類:Ping掃描技術、埠掃描技術、操作系統探測掃描技術以及已知漏洞的掃描技術。 安全掃描技術在保障網路安全方面起到越來越重要的作用。藉助於掃描技術,人們可以發現網路和主機存在的對外開放的埠、提供的服務、某些系統信息、錯誤的配置、已知的安全漏洞等。系統管理員利用安全掃描技術,可以發現網路和主機中可能會被黑客利用的薄弱點,從而想方設法對這些薄弱點進行修復以加強網路和主機的安全性。同時,黑客也可以利用安全掃描技術,目的是為了探查網路和主機系統的入侵點。但是黑客的行為同樣有利於加強網路和主機的安全性,因為漏洞是客觀存在的,只是未被發現而已,而只要一個漏洞被黑客所發現並加以利用,那麼人們最終也會發現該漏洞。 安全掃描器,是一種通過收集系統的信息來自動檢測遠程或本地主機安全性脆弱點的程序。安全掃描器採用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、伺服器、交換機、資料庫等各種對象。並且,一般情況下,安全掃描器會根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網路安全整體水平提供了重要依據。 安全掃描器的性質決定了它不是一個直接的攻擊安全漏洞的程序,它是一個幫助我們發現目標主機存在著弱點的程序。一個優秀的安全掃描器能對檢測到的數據進行分析,幫助我們查找目標主機的安全漏洞並給出相應的建議。 一般情況下,安全掃描器具備三項功能: ● 發現Internet上的一個網路或者一台主機; ● 一旦發現一台主機,能發現其上所運行的服務類型; ● 通過對這些服務的測試,可以發現存在的已知漏洞,並給出修補建議。 源代碼掃描 源代碼掃描主要針對開放源代碼的程序,通過檢查程序中不符合安全規則的文件結構、命名規則、函數、堆棧指針等,進而發現程序中可能隱含的安全缺陷。這種漏洞分析技術需要熟練掌握編程語言,並預先定義出不安全代碼的審查規則,通過表達式匹配的方法檢查源程序代碼。