文章主要是針對Linux主機談的。
一、堡壘往往是從內部被攻破的,小心你身邊的人。
經驗表明,絕大多數的網絡攻擊,來自同事、網友和主機用戶。 這些人能直接或者間接地進入你的主機系統,甚至有可能知道你的密碼。小小的疏漏,都會造成致命的錯誤。我曾經給我同事演示盜取他論壇密碼,方法很簡單,INCLUDE,然後ECHO,變量值就顯示出來了,變量值裡就存有密碼,只有幾行代碼。我告訴他把密碼直接寫到論壇源碼裡去,這樣就沒事了。換個角度,你不是網管,只是主機上的用戶,網管一個小小的失誤,很可能會毀掉你的網站。
二、經常翻看服務器日志。
日志裡有各種訪問信息,通過分析日志文件,你很容易發現試圖進入你管理後台或者試圖探測主機的人。11月初的時候,以為學校的小路由器總斷線,我改用服務器代理上網,用的是紅帽子9。服務器運行不到一個月,我翻看了一下日志,發現至少有五個國家和地區的IP試圖探測我的系統,有美國、韓國、日本、台灣、印度。於是我做了IPTABLES,對那幾個IP網段做了屏蔽,倒是安靜了一些日子,服務器上只產生了很少的日志信息。後來我發現,試圖探測系統的IP有不少是國內的,屏蔽IP顯然不是什麼好辦法,好好做做IPTABLES比什麼都強。舉個例子,我服務器上的SSH和WEBMIN服務限定為只有葫蘆島鐵通的IP才可以訪問,這樣很容易查到試圖入侵系統的黑客。說到翻看日志,我居然發現有網絡監控部門的訪問記錄,勸大家以後開網站小心點,別以為別人不知道你做了啥~
三、別相信法律武器
如果你是政府網站的網管,你大可不必擔心別人黑你,一般人他不敢。多數情況下,別人黑了你,你都沒有辦法。就算你有足夠證據,也未必會得到法律的有效保護,更何況你的網站沒有注冊登記,被人黑了也就黑了,真是沒處告去。所以安全防護還要靠你自己。
四、我的網站安全策略。
現在大部分的網站,尤其是單位和個人網站,都是用CMS做的。CMS一般都有漏洞,包括論壇在內,這是不可避免的,腳本對數據過濾不嚴就會產生SQL注入漏洞,你的數據庫內容很可能被篡改。我是這麼做的。
1、禁止FTP登陸主機,這麼做很不方便,因為FTP空間經常使用。
2、把CMS源碼文件OWNER設成ROOT,其實很簡單,登陸超級用戶後,拷貝一下目錄就可以了。
3、改源碼。因為CMS不會反復打開後台數據庫,打開數據庫的指令通常只有幾條(多數時候是兩條,前台源碼裡一條,後台源碼裡一條),過濾一下,很容易找到相應的腳本行。
4、ZEND優化類似編譯,實際上它還有源碼加密的功效,這樣隱藏在源碼裡的數據庫密碼就不會露出來了。
5、一個數據庫用兩個用戶名打開。mysql的權限管理可以到字段。添在你源碼裡的打開數據庫的那個用戶,權限盡可能降低,而另一個管理用的用戶名,則擁有對數據庫的全部權限。權限設好了,就算把管理密碼貼到大街上,別人也奈何不了你。
6、該數據庫原始文件權限,SU後拷貝一下目錄,這樣即使是數據庫管理員,也黑不了你的網站~一般來說是不用這麼做的。
7、物理上的安全措施,媒體資料、數據庫、網站前台、後台分別放在不同服務器上。這麼做有點BT了,不過安全沒的說,除非關鍵系統,否則沒必要搞這麼嚴格。什麼是關鍵系統呢?不只是國防、經濟建設、金融等等系統才是重要系統,有一定規模的網站都屬於關鍵系統,安全漏洞可能使數年心血毀於一旦。
五、我的具體做法
這兩個月以來,我做了兩個網站。一個是學校的www.lnjxgx.cn,因為下學期要換別人做,現在已經廢棄了,開學就要刪掉了。我把數據庫的權限設成“選擇”,同時屏蔽了FTP主機用戶。除非管理員,不然沒人能黑掉那個網站(我現在是唯一的管理員)。當然,數據庫不可寫,APACHE要報錯,我取消了APACHE和PHP的報錯功能。
第二個網站是放假以後做的www.y768.com/mil,一個小小的音樂網站。只有大約1000首歌曲。別看它小,功能卻很強大,我一個人整理資料,一天至少可以放一百張專集(大約一千多首歌曲)上去,CMS功能還是相當強大的。同樣,我把數據庫權限設成了“選擇”,對個別的表,則放開權限,比如留言板、用戶登陸對應的三個表,這麼做最壞的情況是留言被刪掉,網站的內容是無法更改的。後台我剝離出來,放到家裡服務器上。
開始的時候,我在學校主機上設了個只有葫蘆島鐵通寬帶用戶才能登陸的遠程MYSQL用戶,用來管理網站數據庫,後台部分剝離開來放到我家裡服務器上,後來覺得沒什麼必要,我改在家裡整理資料,然後用MYSQL管理軟件上傳數據,效率是一樣的。我家有個淘汰的K6-2,做的Linux RH9服務器。即便如此,我還是經常做數據備份。
說句不太中聽的話,被黑的網站,就跟那“豆腐渣”工程一樣,光注重外表,金玉其外,敗絮其中。安全防護比外觀更重要。
嘿嘿,看到此貼的黑客朋友,你還有興趣黑我麼?黑客技術應該用於正途,你黑別人是犯法的事,又沒有人給你工錢;但反過來你把你的技術用在安全防護上,卻可以給你自己創造利益。
更多內容請看Linux安全 Linux安全 Linux安全專題,或