作爲運維工程師,職責不緊要快速定位,並處理問題,而是防範於未然,這纔是我們的價值,不是??
(一)解答戰略
當面試與被面試的時候,我們需要注意答題的維度和高度,一定要直接秒殺競爭者,搞定BOSS。
(二)解答戰術
因爲Linux下的***常常是惡意者通過Web上傳到目錄這種方式來上傳***到Linux服務器的,
可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲,層層設卡防護。
(三)從用戶訪問角度解答參考
開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序(JS及後端代碼控制)。
對上傳的內容(包括文本和文件)檢測,檢測方式可通過程序、Web服務層(中間件層)、數據庫等層面控制。
控制上傳目錄的權限以及非站點目錄的權限(Linux文件目錄權限+Web服務層控制)。
傳上***文件後的訪問和執行控制(Web服務層+文件系統存儲層)。
對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
安裝殺毒軟件clamav等,定期監測查殺***。
配置服務器防火牆及***檢測服務。
監控服務器文件變更、進程變化、端口變化、重要安全日誌並及時報警。
(四)從內部管理人員角度:防止被提權
***管理服務器或Web化管理服務器。
ssh監聽內網。
採用跳板機、操作審計。
sudo集權管理、鎖定關鍵文件。
站點目錄、上傳目錄權限屬組控制。
做系統及站點文件備份指紋監控報警。
動態口令認證。