針對LINUX主機談---我的防範駭客經驗(轉)
針對LINUX主機談---我的防範駭客經驗(轉)[@more@]我是針對LINUX主機談的。
一、堡壘往往是從內部被攻破的,小心你身邊的人。
經驗表明,絕大多數的網路攻擊,來自同事、網友和主機使用者。這些人能直接或者間接地進入你的主機系統,甚至有可能知道你的密碼。小小的疏漏,都會造成致命的錯誤。我曾經給我同事演示盜取他論壇密碼,方法很簡單,INCLUDE,然後ECHO,變數值就顯示出來了,變數值裡就存有密碼,只有幾行程式碼。我告訴他把密碼直接寫到論壇原始碼裡去,這樣就沒事了。換個角度,你不是網管,只是主機上的使用者,網管一個小小的失誤,很可能會毀掉你的網站。
二、經常翻看伺服器日誌。
日誌裡有各種訪問資訊,透過分析日誌檔案,你很容易發現試圖進入你管理後臺或者試圖探測主機的人。11月初的時候,以為學校的小路由器總斷線,我改用伺服器代理上網,用的是紅帽子9。伺服器執行不到一個月,我翻看了一下日誌,發現至少有五個國家和地區的IP試圖探測我的系統,有美國、韓國、日本、臺灣、印度。於是我做了IPTABLES,對那幾個IP網段做了遮蔽,倒是安靜了一些日子,伺服器上只產生了很少的日誌資訊。後來我發現,試圖探測系統的IP有不少是國內的,遮蔽IP顯然不是什麼好辦法,好好做做IPTABLES比什麼都強。舉個例子,我伺服器上的SSH和WEBMIN服務限定為只有葫蘆島鐵通的IP才可以訪問,這樣很容易查到試圖入侵系統的駭客。說到翻看日誌,我居然發現有網路監控部門的訪問記錄,勸大家以後開網站小心點,別以為別人不知道你做了啥~
三、別相信法律武器
如果你是政府網站的網管,你大可不必擔心別人黑你,一般人他不敢。多數情況下,別人黑了你,你都沒有辦法。就算你有足夠證據,也未必會得到法律的有效保護,更何況你的網站沒有註冊登記,被人黑了也就黑了,真是沒處告去。所以安全防護還要靠你自己。
四、我的網站安全策略。
現在大部分的網站,尤其是單位和個人網站,都是用CMS做的。CMS一般都有漏洞,包括論壇在內,這是不可避免的,指令碼對資料過濾不嚴就會產生SQL隱碼攻擊漏洞,你的資料庫內容很可能被篡改。我是這麼做的。
1、禁止FTP登陸主機。 這麼做很不方便,因為FTP空間經常使用。
2、把CMS原始碼檔案OWNER設成ROOT,其實很簡單,登陸超級使用者後,複製一下目錄就可以了。
3、改原始碼。因為CMS不會反覆開啟後臺資料庫,開啟資料庫的指令通常只有幾條(多數時候是兩條,前臺原始碼裡一條,後臺原始碼裡一條),過濾一下,很容易找到相應的指令碼行。
4、ZEND最佳化。ZEND最佳化類似編譯,實際上它還有原始碼加密的功效,這樣隱藏在原始碼裡的資料庫密碼就不會露出來了。
5、雙使用者。一個資料庫用兩個使用者名稱開啟。MYSQL的許可權管理可以到欄位。添在你原始碼裡的開啟資料庫的那個使用者,許可權盡可能降低,而另一個管理用的使用者名稱,則擁有對資料庫的全部許可權。許可權設好了,就算把管理密碼貼到大街上,別人也奈何不了你。
6、該資料庫原始檔案許可權,SU後複製一下目錄,這樣即使是資料庫管理員,也黑不了你的網站~一般來說是不用這麼做的。
7、物理上的安全措施。媒體資料、資料庫、網站前臺、後臺分別放在不同伺服器上。這麼做有點BT了,不過安全沒的說,除非關鍵系統,否則沒必要搞這麼嚴格。什麼是關鍵系統呢?不只是國防、經濟建設、金融等等系統才是重要系統,有一定規模的網站都屬於關鍵系統,安全漏洞可能使數年心血毀於一旦。
五、我的具體做法。
這兩個月以來,我做了兩個網站。一個是學校的,因為下學期要換別人做,現在已經廢棄了,開學就要刪掉了。我把資料庫的許可權設成“選擇”,同時遮蔽了FTP主機使用者。除非管理員,不然沒人能黑掉那個網站(我現在是唯一的管理員)。當然,資料庫不可寫,APACHE要報錯,我取消了APACHE和PHP的報錯功能。
第二個網站是放假以後做的,一個小小的音樂網站。只有大約1000首歌曲。別看它小,功能卻很強大,我一個人整理資料,一天至少可以放一百張專集(大約一千多首歌曲)上去,CMS功能還是相當強大的。同樣,我把資料庫許可權設成了“選擇”,對個別的表,則放開許可權,比如留言板、使用者登陸對應的三個表,這麼做最壞的情況是留言被刪掉,網站的內容是無法更改的。後臺我剝離出來,放到家裡伺服器上。
開始的時候,我在學校主機上設了個只有葫蘆島鐵通寬頻使用者才能登陸的遠端MYSQL使用者,用來管理網站資料庫,後臺部分剝離開來放到我家裡伺服器上,後來覺得沒什麼必要,我改在家裡整理資料,然後用MYSQL管理軟體上傳資料,效率是一樣的。我家有個淘汰的K6-2,做的LINUX RH9伺服器。即便如此,我還是經常做資料備份。
說句不太中聽的話,被黑的網站,就跟那“豆腐渣”工程一樣,光注重外表,金玉其外,敗絮其中。安全防護比外觀更重要。
嘿嘿,看到此貼的駭客朋友,你還有興趣黑我麼?駭客技術應該用於正途,你黑別人是犯法的事,又沒有人給你工錢;但反過來你把你的技術用在安全防護上,卻可以給你自己創造利益。
一、堡壘往往是從內部被攻破的,小心你身邊的人。
經驗表明,絕大多數的網路攻擊,來自同事、網友和主機使用者。這些人能直接或者間接地進入你的主機系統,甚至有可能知道你的密碼。小小的疏漏,都會造成致命的錯誤。我曾經給我同事演示盜取他論壇密碼,方法很簡單,INCLUDE,然後ECHO,變數值就顯示出來了,變數值裡就存有密碼,只有幾行程式碼。我告訴他把密碼直接寫到論壇原始碼裡去,這樣就沒事了。換個角度,你不是網管,只是主機上的使用者,網管一個小小的失誤,很可能會毀掉你的網站。
二、經常翻看伺服器日誌。
日誌裡有各種訪問資訊,透過分析日誌檔案,你很容易發現試圖進入你管理後臺或者試圖探測主機的人。11月初的時候,以為學校的小路由器總斷線,我改用伺服器代理上網,用的是紅帽子9。伺服器執行不到一個月,我翻看了一下日誌,發現至少有五個國家和地區的IP試圖探測我的系統,有美國、韓國、日本、臺灣、印度。於是我做了IPTABLES,對那幾個IP網段做了遮蔽,倒是安靜了一些日子,伺服器上只產生了很少的日誌資訊。後來我發現,試圖探測系統的IP有不少是國內的,遮蔽IP顯然不是什麼好辦法,好好做做IPTABLES比什麼都強。舉個例子,我伺服器上的SSH和WEBMIN服務限定為只有葫蘆島鐵通的IP才可以訪問,這樣很容易查到試圖入侵系統的駭客。說到翻看日誌,我居然發現有網路監控部門的訪問記錄,勸大家以後開網站小心點,別以為別人不知道你做了啥~
三、別相信法律武器
如果你是政府網站的網管,你大可不必擔心別人黑你,一般人他不敢。多數情況下,別人黑了你,你都沒有辦法。就算你有足夠證據,也未必會得到法律的有效保護,更何況你的網站沒有註冊登記,被人黑了也就黑了,真是沒處告去。所以安全防護還要靠你自己。
四、我的網站安全策略。
現在大部分的網站,尤其是單位和個人網站,都是用CMS做的。CMS一般都有漏洞,包括論壇在內,這是不可避免的,指令碼對資料過濾不嚴就會產生SQL隱碼攻擊漏洞,你的資料庫內容很可能被篡改。我是這麼做的。
1、禁止FTP登陸主機。 這麼做很不方便,因為FTP空間經常使用。
2、把CMS原始碼檔案OWNER設成ROOT,其實很簡單,登陸超級使用者後,複製一下目錄就可以了。
3、改原始碼。因為CMS不會反覆開啟後臺資料庫,開啟資料庫的指令通常只有幾條(多數時候是兩條,前臺原始碼裡一條,後臺原始碼裡一條),過濾一下,很容易找到相應的指令碼行。
4、ZEND最佳化。ZEND最佳化類似編譯,實際上它還有原始碼加密的功效,這樣隱藏在原始碼裡的資料庫密碼就不會露出來了。
5、雙使用者。一個資料庫用兩個使用者名稱開啟。MYSQL的許可權管理可以到欄位。添在你原始碼裡的開啟資料庫的那個使用者,許可權盡可能降低,而另一個管理用的使用者名稱,則擁有對資料庫的全部許可權。許可權設好了,就算把管理密碼貼到大街上,別人也奈何不了你。
6、該資料庫原始檔案許可權,SU後複製一下目錄,這樣即使是資料庫管理員,也黑不了你的網站~一般來說是不用這麼做的。
7、物理上的安全措施。媒體資料、資料庫、網站前臺、後臺分別放在不同伺服器上。這麼做有點BT了,不過安全沒的說,除非關鍵系統,否則沒必要搞這麼嚴格。什麼是關鍵系統呢?不只是國防、經濟建設、金融等等系統才是重要系統,有一定規模的網站都屬於關鍵系統,安全漏洞可能使數年心血毀於一旦。
五、我的具體做法。
這兩個月以來,我做了兩個網站。一個是學校的,因為下學期要換別人做,現在已經廢棄了,開學就要刪掉了。我把資料庫的許可權設成“選擇”,同時遮蔽了FTP主機使用者。除非管理員,不然沒人能黑掉那個網站(我現在是唯一的管理員)。當然,資料庫不可寫,APACHE要報錯,我取消了APACHE和PHP的報錯功能。
第二個網站是放假以後做的,一個小小的音樂網站。只有大約1000首歌曲。別看它小,功能卻很強大,我一個人整理資料,一天至少可以放一百張專集(大約一千多首歌曲)上去,CMS功能還是相當強大的。同樣,我把資料庫許可權設成了“選擇”,對個別的表,則放開許可權,比如留言板、使用者登陸對應的三個表,這麼做最壞的情況是留言被刪掉,網站的內容是無法更改的。後臺我剝離出來,放到家裡伺服器上。
開始的時候,我在學校主機上設了個只有葫蘆島鐵通寬頻使用者才能登陸的遠端MYSQL使用者,用來管理網站資料庫,後臺部分剝離開來放到我家裡伺服器上,後來覺得沒什麼必要,我改在家裡整理資料,然後用MYSQL管理軟體上傳資料,效率是一樣的。我家有個淘汰的K6-2,做的LINUX RH9伺服器。即便如此,我還是經常做資料備份。
說句不太中聽的話,被黑的網站,就跟那“豆腐渣”工程一樣,光注重外表,金玉其外,敗絮其中。安全防護比外觀更重要。
嘿嘿,看到此貼的駭客朋友,你還有興趣黑我麼?駭客技術應該用於正途,你黑別人是犯法的事,又沒有人給你工錢;但反過來你把你的技術用在安全防護上,卻可以給你自己創造利益。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-950480/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 防黑經驗之防禦駭客入侵的方法(轉)
- 【Mysql】針對跑mysql的linux機器的最佳化經驗MySqlLinux
- 駭客經驗談系列之入侵3389起源完整編(轉)
- 與駭客過招自我防範十大策略 (轉)
- Linux網路安全之經驗談(轉)Linux
- Lotus 經驗談(轉)
- Linux安全經驗談Linux
- ERP經驗談(轉)
- WireShark駭客發現之旅(8)—針對路由器的Linux木馬路由器Linux
- 經驗心得:騙駭客的一種很有效的方法(轉)
- Linux核心程式設計實戰經驗談(轉)Linux程式設計
- 【經驗心得】談一談我IT行業未來的方向行業
- Java程式設計中空指標(NullPointerException)的防範經驗分享Java程式設計指標NullException
- 駭客經驗之sa弱口令強行入侵(轉)
- 駭客新聞對DDD的各種吐槽和經驗分享
- 談談我對Android安全機制的理解Android
- TurboLinux使用經驗談(轉)Linux
- CVS使用經驗談 (轉)
- Linux系統配置與最佳化經驗談(轉)Linux
- 談我對攻讀計算機研究生的看法(轉)計算機
- 駭客對其侵佔的計算機的利用(轉)計算機
- Linux網路安全經驗談Linux
- 我的一點學習經驗 (轉)
- 網路安全對企業的危害及防範措施(轉)
- PMP考試經驗談(五)(轉)
- PMP考試經驗談(一)(轉)
- PMP考試經驗談(二)(轉)
- 告別理想主義,走向經驗主義 (轉)
- 網管經驗談:Linux下巧做硬碟分割槽映象(轉)Linux硬碟
- 淺談前端安全以及如何防範前端
- 經驗談
- Linux網路安全與主機防護Linux
- Linux網路安全經驗之談Linux
- 駭客經驗之教你穿透ADSL路由入侵內網(轉)穿透路由內網
- 駭客基本功 淺談病毒,木馬,駭客(轉)
- 轉載:Kubernetes實戰——談談微博應對春晚等突發峰值流量的經驗
- 經驗點談在JSP中的宣告. (轉)JS
- Linux程式應用開發環境和工具經驗談(轉)Linux開發環境