我们最近打算开办一个电子商务网站,该网站还存储信用卡信息等。我们的软件安全性很好,但就整个操作系统而言,我们的安全性很差,因此希望确保我们的网站安全。我偶然发现了一款名为 webmin 的工具,它可以帮助您配置 Linux 机器。这款工具有多好用?你们会推荐使用此工具来保护网站吗?例如,我看到这款工具允许您使用 IPTables。
这是用于妥善保护网站免受任何攻击的好工具吗?我们还按照本教程确保了 MySQL 的安全http://www.securityfocus.com/infocus/1726
答案1
Webmin 是一个很好的工具,但它也是另一个潜在的安全漏洞......请确保将其锁定,以便只能从受信任的主机访问它。
它基本上是一个图形前端,用于处理大量命令行操作。它无法执行任何命令行无法执行的操作,但它使其中一些操作更加友好...因此,如果您已经知道如何固定一个盒子,它会有所帮助。
但是如果你不知道,那就不会改变任何事情。
我的建议是,除非万不得已,否则不要存储信用卡信息。存储最后四位数字以供验证,其余数字则交给商户提供商,让他们承担责任。
当你踏入坚固的信用卡处理机的世界时,你必须明白,你需要时刻掌握这台机器不断地因为每一个新的漏洞在某个时候都会被尝试。
答案2
您是否审计过 SQL 注入、XSS、CSRF、CRLF 操作、缓冲区溢出、格式字符串攻击……
关键是,您可能尚未保护好您的系统,而且如果没有安全顾问,您也不可能做到这一点。
省去您的麻烦,让 CC 处理器来处理吧。
至于实际问题,Webmin 并不是保护您网站的好工具。我总是建议绿色SQL和格雷塞克/SELinux 为网络服务器打补丁,并审查了 stripslashes() 或任何用户可用内容上的类似函数(在 Magento 中这部分内容出奇地少)。
就这一点而言,Magento 拥有相当不错的安全记录,话虽如此,我只会尽可能地信任其他任何人,而用户制作的扩展总是会给你带来新的漏洞,而这些漏洞的审核远不如原始代码库那么彻底。
在您的特定场景中,网站安全的问题在于,一旦任何用户受到威胁,游戏就结束了(假设您将运行 apache/nginx 作为没有人)。这意味着 jail() 现在无法拯救您,因此您需要格外谨慎地进行设置 - 您将会受到攻击,主要是来自中国和俄罗斯的脚本小子,但如果您处理的卡足够多,您偶尔也会遇到真正的黑帽黑客。