針對LINUX主機談---我的防範駭客經驗(轉)

ba發表於2007-08-12
針對LINUX主機談---我的防範駭客經驗(轉)[@more@]我是針對LINUX主機談的。

一、堡壘往往是從內部被攻破的,小心你身邊的人。

經驗表明,絕大多數的網路攻擊,來自同事、網友和主機使用者。這些人能直接或者間接地進入你的主機系統,甚至有可能知道你的密碼。小小的疏漏,都會造成致命的錯誤。我曾經給我同事演示盜取他論壇密碼,方法很簡單,INCLUDE,然後ECHO,變數值就顯示出來了,變數值裡就存有密碼,只有幾行程式碼。我告訴他把密碼直接寫到論壇原始碼裡去,這樣就沒事了。換個角度,你不是網管,只是主機上的使用者,網管一個小小的失誤,很可能會毀掉你的網站。

二、經常翻看伺服器日誌。

日誌裡有各種訪問資訊,透過分析日誌檔案,你很容易發現試圖進入你管理後臺或者試圖探測主機的人。11月初的時候,以為學校的小路由器總斷線,我改用伺服器代理上網,用的是紅帽子9。伺服器執行不到一個月,我翻看了一下日誌,發現至少有五個國家和地區的IP試圖探測我的系統,有美國、韓國、日本、臺灣、印度。於是我做了IPTABLES,對那幾個IP網段做了遮蔽,倒是安靜了一些日子,伺服器上只產生了很少的日誌資訊。後來我發現,試圖探測系統的IP有不少是國內的,遮蔽IP顯然不是什麼好辦法,好好做做IPTABLES比什麼都強。舉個例子,我伺服器上的SSH和WEBMIN服務限定為只有葫蘆島鐵通的IP才可以訪問,這樣很容易查到試圖入侵系統的駭客。說到翻看日誌,我居然發現有網路監控部門的訪問記錄,勸大家以後開網站小心點,別以為別人不知道你做了啥~

三、別相信法律武器

如果你是政府網站的網管,你大可不必擔心別人黑你,一般人他不敢。多數情況下,別人黑了你,你都沒有辦法。就算你有足夠證據,也未必會得到法律的有效保護,更何況你的網站沒有註冊登記,被人黑了也就黑了,真是沒處告去。所以安全防護還要靠你自己。

四、我的網站安全策略。

現在大部分的網站,尤其是單位和個人網站,都是用CMS做的。CMS一般都有漏洞,包括論壇在內,這是不可避免的,指令碼對資料過濾不嚴就會產生SQL隱碼攻擊漏洞,你的資料庫內容很可能被篡改。我是這麼做的。
1、禁止FTP登陸主機。 這麼做很不方便,因為FTP空間經常使用。

2、把CMS原始碼檔案OWNER設成ROOT,其實很簡單,登陸超級使用者後,複製一下目錄就可以了。

3、改原始碼。因為CMS不會反覆開啟後臺資料庫,開啟資料庫的指令通常只有幾條(多數時候是兩條,前臺原始碼裡一條,後臺原始碼裡一條),過濾一下,很容易找到相應的指令碼行。

4、ZEND最佳化。ZEND最佳化類似編譯,實際上它還有原始碼加密的功效,這樣隱藏在原始碼裡的資料庫密碼就不會露出來了。

5、雙使用者。一個資料庫用兩個使用者名稱開啟。MYSQL的許可權管理可以到欄位。添在你原始碼裡的開啟資料庫的那個使用者,許可權盡可能降低,而另一個管理用的使用者名稱,則擁有對資料庫的全部許可權。許可權設好了,就算把管理密碼貼到大街上,別人也奈何不了你。

6、該資料庫原始檔案許可權,SU後複製一下目錄,這樣即使是資料庫管理員,也黑不了你的網站~一般來說是不用這麼做的。

7、物理上的安全措施。媒體資料、資料庫、網站前臺、後臺分別放在不同伺服器上。這麼做有點BT了,不過安全沒的說,除非關鍵系統,否則沒必要搞這麼嚴格。什麼是關鍵系統呢?不只是國防、經濟建設、金融等等系統才是重要系統,有一定規模的網站都屬於關鍵系統,安全漏洞可能使數年心血毀於一旦。

五、我的具體做法。

這兩個月以來,我做了兩個網站。一個是學校的,因為下學期要換別人做,現在已經廢棄了,開學就要刪掉了。我把資料庫的許可權設成“選擇”,同時遮蔽了FTP主機使用者。除非管理員,不然沒人能黑掉那個網站(我現在是唯一的管理員)。當然,資料庫不可寫,APACHE要報錯,我取消了APACHE和PHP的報錯功能。
第二個網站是放假以後做的,一個小小的音樂網站。只有大約1000首歌曲。別看它小,功能卻很強大,我一個人整理資料,一天至少可以放一百張專集(大約一千多首歌曲)上去,CMS功能還是相當強大的。同樣,我把資料庫許可權設成了“選擇”,對個別的表,則放開許可權,比如留言板、使用者登陸對應的三個表,這麼做最壞的情況是留言被刪掉,網站的內容是無法更改的。後臺我剝離出來,放到家裡伺服器上。

開始的時候,我在學校主機上設了個只有葫蘆島鐵通寬頻使用者才能登陸的遠端MYSQL使用者,用來管理網站資料庫,後臺部分剝離開來放到我家裡伺服器上,後來覺得沒什麼必要,我改在家裡整理資料,然後用MYSQL管理軟體上傳資料,效率是一樣的。我家有個淘汰的K6-2,做的LINUX RH9伺服器。即便如此,我還是經常做資料備份。

說句不太中聽的話,被黑的網站,就跟那“豆腐渣”工程一樣,光注重外表,金玉其外,敗絮其中。安全防護比外觀更重要。

嘿嘿,看到此貼的駭客朋友,你還有興趣黑我麼?駭客技術應該用於正途,你黑別人是犯法的事,又沒有人給你工錢;但反過來你把你的技術用在安全防護上,卻可以給你自己創造利益。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-950480/,如需轉載,請註明出處,否則將追究法律責任。

相關文章