Web 服务器安全性(仅用于 Web 服务)

Web 服务器安全性(仅用于 Web 服务)

我正在使用虚拟专用服务器来访问仅在移动设备上使用的 Web 服务,访问和错误日​​志中有很多条目,即使 Web 服务器上没有任何内容。

我有点担心服务器安全。

我做过的事..

Installed Fail2Ban
rkhunter
using SSH login
root login disabled.

我正在使用带有 LAMP 配置的服务器。

我应该使用什么其他安全措施来防范攻击?

答案1

看来你现在已经保护了银行的后门,但却忘了锁前门。

我为什么这么说?

您似乎担心您的 ssh 安全。太好了,这绝对是一个值得好好保护的领域!但最有可能(成功)的攻击媒介将来自网络。典型的僵尸网络只会盲目地尝试加载常见的易受攻击的 URL - 如果您没有安装任何类似 phpBB 或 WordPress 的东西,您就不必担心。此外,如果您看到与 Windows 相关的 URL,您不必担心 Linux 服务器上的它们。

典型的 Web 攻击包括

  • SQL 注入。如果用户发送的数据未经过正确验证,并且您的应用程序未使用准备好的 SQL 查询,则可以通过 Web 注入其他 SQL 查询,并以此方式更改/下载您的 SQL 数据。如果反馈文本区域的数据未经过正确验证,看似无害的反馈表单可能会为 SQL 注入打开大门。

  • 跨站点脚本 (XSS)通过使用 JavaScript,可以执行各种恶意操作,从网络钓鱼到入侵客户端计算机。

  • (分布式)拒绝服务攻击。僵尸网络试图通过发送大量请求、访问故意占用大量资源的页面和/或违反 TCP 标准来轰炸您的服务器。

  • 垃圾邮件。有时,垃圾邮件发送者会尝试利用一些已知的漏洞来滥用您的 Web 服务器,从而使他们能够从您的服务器发送垃圾邮件。或者 - 或者更有可能 - 他们现在倾向于向您的公告板、博客评论等发送垃圾邮件。

如何预防此类事情发生?

  • 最好的防御就是根本不存在。如果您不需要某些 Apache 模块或 PHP 扩展,请禁用它。如果您不需要博客/CMS 软件中的某些功能,请禁用它。

  • 使用 mod_security。 这Apache 模块在保护您的 Web 应用程序方面是重量级冠军。警告:对于许多人来说,这个模块有点过头了,正确配置它可能很繁琐。

  • 保持软件更新。更新 Web 应用程序时不要偷懒!这些应用程序中经常存在安全漏洞。

  • 不要依赖“它不是以 root 身份运行,我很安全”的口头禅。我经常看到人们相信软件不以 root 身份运行 = 安全。好吧,快讯!出站 http 连接、发送电子邮件或执行 SQL 查询不需要 root 访问权限。

  • 使用防火墙. 用防火墙阻断所有不需要的东西。如果您的服务器不需要建立出站 http 连接,那么就把它们放到防火墙里。

相关内容