记得阿里云刚推出的时候当时用户应该还不多;那个时候大部分人还停留在虚拟空间阶段;随着使用的人原来越多;别有用心的人也开始关注它;于是各种暴力破解,漏洞扫描纷纷而至。我订阅了阿里的云盾通知;几乎每天都能收到攻击短信。类型无非struts2漏洞攻击、某些开源的PHP系统的漏洞攻击啊等等。
阿里云起初的一些安全防护功能是免费给你用的;后来很多东西独立出来便开始收费了。类似快照功能。收取的费用比入门的VPS机器年费还要;所以一般的个人博客、中小网站啊还是很难承受的起的。这里我就简单的和小白分享一下如何来加强自己主机的安全;
一、在主机控制台的网络策略中仅开发必要的端口;如:80,843,22等;
通常情况下我的主机是只开放80端口的;数据库端口3306在数据库安装时我就禁止网外访问了;在防火墙策略也是禁止VPS的内网&外网访问这一端口的;简单的说就是自由本机能访问。这样即使MYSQL有漏洞也无妨;因为数据库对互联网用户来说是完全不可见的。
对外提供WEB服务时只开发需要的端口;如果你是一台主机只部署一个WEB服务器那么只开放80端口就好了;如果是一台主机部署多个web应用;那么部署几个就开放几个;例如:你部署了一个tomcat 8088端口;部署了一个php服务9000端口,那么只开发8088和9000就可以了;可以用nginx做反向代理来映射域名;
在需要的时候才开启相关端口;针对windows机器;要么用服务商提供的web远程连接的方式;要么临时开放3306端口;用window的远程连接客户端连;这里记住一定不要用弱口令!用完记得及时关闭;
二、确保应用本身安全无漏洞:
如果你的系统本身就有漏洞那么第一步防火墙策略做的再好也是无法避免你的服务器被攻陷的;例如之前很火爆的struts2 的一些漏洞,黑客可以通过这些漏洞给你远程上传木马;或者创建账号并提权;有的会执行一些恶意脚本;还有就是你应用本身在编码的时候就留下的漏洞;例如SQL注入漏洞等。所以开发人员平时要多关注一些安全相关的编码知识!
三、确保操作系统及时更新补丁:
经常关注操作系统的漏洞动态;有些高位漏洞需要及时的打补丁!
记得上大学的时候我也学习过一段时间黑客攻防;那个时候只是菜鸟刚起步;当时“著名”的成果就是攻下了安徽电信的校园网络充值系统(华为开发的);当时就用流光在校园网ip地址范围内做弱口扫描;用数据字典做暴力破解!这个过程很耗时;经过不懈努力竟然扫描到了几台SQL SERVER的弱口令数据库;连接上一看发现握草居然是华为的系统;而且还是我们上网的充值和计费系统;当时不懂什么业务;只是几十张表一张一张的打开看看字段和表名猜测作用;当时校内网为了避免一个寝室买一张卡;然后6个人同时用这种情况在数据库有个字段配置了并发拨号上网人数;恶心的是这个值被设置成1;因为起初的时候1个人买卡;是可以好几个人一起上的。后来第二年被电信限制了;于是乎当时就绑班里的人更新这个配置。后来发现了他们的充值卡存储表;这个就6了;当时成功了的撸了两张卡。自己用了一张;送室友一张;不敢多弄怕触及法律。
所以在我看来菜鸟(入门)级别的黑客大多数是用一些现成的工具做一些端口弱口令的攻击或者一些特定类型的攻击;给木马加壳诱骗你打开,让你变肉鸡,我们用上述一中所述的方法来防范;
中等水平的黑客会端口、弱口令攻击,也会自己挖掘发现一些框架漏洞;自己写一些简单工具;我们用上述中二所述的方法来防范;
高级水平的黑客其实是很难防范的他们会自己挖掘操作系统级的一些漏洞;这些人来无影去无踪。可能你被玩了自己都不知道;或者人家压根就看不上你的信息;因为价值低或者难变现。
所以一般类型的网站和系统用上述三种方法就足够应对安全问题。如果是大型系统或者金融系统;那么就会有很多其他的方法了;比如物理隔离、代理机器、商用防火墙等等。
本文由 huzd 创作,采用 知识共享署名4.0 国际许可协议进行许可本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名最后编辑时间
为:
2018/04/24 23:19