Web 服务器安全性（仅用于 Web 服务）

Question

看来你现在已经保护了银行的后门，但却忘了锁前门。

我为什么这么说？

您似乎担心您的 ssh 安全。太好了，这绝对是一个值得好好保护的领域！但最有可能（成功）的攻击媒介将来自网络。典型的僵尸网络只会盲目地尝试加载常见的易受攻击的 URL - 如果您没有安装任何类似 phpBB 或 WordPress 的东西，您就不必担心。此外，如果您看到与 Windows 相关的 URL，您不必担心 Linux 服务器上的它们。

典型的 Web 攻击包括

SQL 注入。如果用户发送的数据未经过正确验证，并且您的应用程序未使用准备好的 SQL 查询，则可以通过 Web 注入其他 SQL 查询，并以此方式更改/下载您的 SQL 数据。如果反馈文本区域的数据未经过正确验证，看似无害的反馈表单可能会为 SQL 注入打开大门。
跨站点脚本 (XSS)通过使用 JavaScript，可以执行各种恶意操作，从网络钓鱼到入侵客户端计算机。
（分布式）拒绝服务攻击。僵尸网络试图通过发送大量请求、访问故意占用大量资源的页面和/或违反 TCP 标准来轰炸您的服务器。
垃圾邮件。有时，垃圾邮件发送者会尝试利用一些已知的漏洞来滥用您的 Web 服务器，从而使他们能够从您的服务器发送垃圾邮件。或者 - 或者更有可能 - 他们现在倾向于向您的公告板、博客评论等发送垃圾邮件。

如何预防此类事情发生？

最好的防御就是根本不存在。如果您不需要某些 Apache 模块或 PHP 扩展，请禁用它。如果您不需要博客/CMS 软件中的某些功能，请禁用它。
使用 mod_security。这Apache 模块在保护您的 Web 应用程序方面是重量级冠军。警告：对于许多人来说，这个模块有点过头了，正确配置它可能很繁琐。
保持软件更新。更新 Web 应用程序时不要偷懒！这些应用程序中经常存在安全漏洞。
不要依赖“它不是以 root 身份运行，我很安全”的口头禅。我经常看到人们相信软件不以 root 身份运行 = 安全。好吧，快讯！出站 http 连接、发送电子邮件或执行 SQL 查询不需要 root 访问权限。
使用防火墙. 用防火墙阻断所有不需要的东西。如果您的服务器不需要建立出站 http 连接，那么就把它们放到防火墙里。

Answer 1

看来你现在已经保护了银行的后门，但却忘了锁前门。

我为什么这么说？

您似乎担心您的 ssh 安全。太好了，这绝对是一个值得好好保护的领域！但最有可能（成功）的攻击媒介将来自网络。典型的僵尸网络只会盲目地尝试加载常见的易受攻击的 URL - 如果您没有安装任何类似 phpBB 或 WordPress 的东西，您就不必担心。此外，如果您看到与 Windows 相关的 URL，您不必担心 Linux 服务器上的它们。

典型的 Web 攻击包括

SQL 注入。如果用户发送的数据未经过正确验证，并且您的应用程序未使用准备好的 SQL 查询，则可以通过 Web 注入其他 SQL 查询，并以此方式更改/下载您的 SQL 数据。如果反馈文本区域的数据未经过正确验证，看似无害的反馈表单可能会为 SQL 注入打开大门。
跨站点脚本 (XSS)通过使用 JavaScript，可以执行各种恶意操作，从网络钓鱼到入侵客户端计算机。
（分布式）拒绝服务攻击。僵尸网络试图通过发送大量请求、访问故意占用大量资源的页面和/或违反 TCP 标准来轰炸您的服务器。
垃圾邮件。有时，垃圾邮件发送者会尝试利用一些已知的漏洞来滥用您的 Web 服务器，从而使他们能够从您的服务器发送垃圾邮件。或者 - 或者更有可能 - 他们现在倾向于向您的公告板、博客评论等发送垃圾邮件。

如何预防此类事情发生？

最好的防御就是根本不存在。如果您不需要某些 Apache 模块或 PHP 扩展，请禁用它。如果您不需要博客/CMS 软件中的某些功能，请禁用它。
使用 mod_security。这Apache 模块在保护您的 Web 应用程序方面是重量级冠军。警告：对于许多人来说，这个模块有点过头了，正确配置它可能很繁琐。
保持软件更新。更新 Web 应用程序时不要偷懒！这些应用程序中经常存在安全漏洞。
不要依赖“它不是以 root 身份运行，我很安全”的口头禅。我经常看到人们相信软件不以 root 身份运行 = 安全。好吧，快讯！出站 http 连接、发送电子邮件或执行 SQL 查询不需要 root 访问权限。
使用防火墙. 用防火墙阻断所有不需要的东西。如果您的服务器不需要建立出站 http 连接，那么就把它们放到防火墙里。

Web 服务器安全性（仅用于 Web 服务）

答案1

相关内容