伺服器安全問題,一直是大多數站長很關心卻完全不知道該如何解決的。要不就是完全不設防的狀态存着僥幸心理在“裸奔”,要不就是花錢讓别人幫忙維護,還要確定找的人足夠可靠。其實系統本身帶有大量的安全工具和安全機制,隻要合理的設定并利用他們,就可以防禦大部分基礎的攻擊。比如selinux、snort和honeynet。
統一集中化管理工具
大多數網際網路公司來說,伺服器的數量相對較大,很多單機的工具就不太合适。這時候可以使用統一集中化的管理工具,有效的簡化多台伺服器的系統管理工作。Windows下可以用域,linux下可以用ldap,或者像Puppet、Func之類的工具。類似于木馬一樣,每一台伺服器都裝一個agent。
最小權限通路控制政策
比如網絡通路控制,Windows可以使用IPSec、linux可以使用IPTABLES。針對遊戲伺服器,那麼除了遊戲端口,什麼都不要讓普通使用者通路。而web應用就隻開放80/443。檔案權限控制,不要什麼都777,對應在WIndows平台下,不要什麼都是Everyone完全控制。
更新檔與反病毒
這是大家都比較信賴的方案,但更新檔防不住0day漏洞,防毒軟體也可以用免殺繞過(雖然在HIPS的圍剿中正越來越難)。更新檔和反病毒軟體是一個基礎必備卻并不能依賴的方案。Windows下可以用WSUS進行更新檔的部署,Linux下需要通過統一集中化管理工具來推送。
監控體系
有了前面的設定伺服器的安全性已經相對較高,但并不是無法攻破的。如果被黑客攻破了,就需要有監控的方案。例如主機層面可以用HIPS(蜜罐屬于同一類方案)、網絡層面可以用IPS。
基礎安全工具
如果伺服器已經或疑似被黑了,需要登入伺服器進行檢查。這時候需要使用檢查程序、端口、啟動項、隐藏檔案、ssdt/syscall之類基礎資訊的工具。大家熟悉的有sysintenal系列的所有工具,冰刃/Xuetr/Chkrootkit等
資訊安全預警
隻有擷取最新的安全資訊,比如漏洞、更新檔的及時更新,最新流行的攻擊技術和方式,上面的安全部署才是有效的。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)