title: Linux服務器如何防止被掛×××
tags: 新建,模板,小書匠
Linux 如何防止被掛×××
1. ×××程序思考,如何上服務器,如何執行。
1.1 linux 系統如何防止被×××掛×××程序,可以從多個角度進行思考,×××怎麼會到linux服務器上,肯定是有入口被上傳過去的,因此我們要從入口切斷,我們要在web站點通過程序代碼設置關卡,讓可執行程序禁止上傳。如果×××被上傳成功了,但是×××怎麼可以執行它的功能呢,因爲通過上傳入口上傳的文件統一在一個目錄裏,因此我們可以把該目錄掛載參數設置爲-exec參數,讓×××無法執行。
1.2 要有必要的防禦措施,×××如果能執行了,它會做一些什麼操作,悄悄提權,改配置文件,改重要應用配置文件,盜取資料。我們平時要有機制對重要的系統配置文件,應用配置文件的監控及備份,和比對,如果有操作更改要記錄要更新,對異常更改要警惕,更改了什麼東西,會造成什麼後果。
2. 預防操作步驟如下:
2.1 從用戶訪問網站的角度操作
2.1.1 開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序(JS及後端代碼控制)。
2.1.2 對上傳的內容(包括文本和文件)檢測,檢測方式可通過程序、Web服務層(中間件層)、數據庫等層面控制。
2.1.3 控制上傳目錄的權限以及非站點目錄的權限(Linux文件目錄權限+Web服務層控制。
2.1.4 傳上傳×××文件後的訪問和執行控制(Web服務層+文件系統存儲層。
2.1.5 對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
2.1.6 安裝殺毒軟件clamav等,定期監測查殺×××程序。
2.1.7 配置服務器防火牆。
2.1.8 監控服務器文件變更、進程變化、端口變化、重要安全日誌並及時報警。
2.2 從內部管理人員角度:防止被提權
2.2.1 Web化管理服務器。
2.2.2 ssh監聽內網。
2.2.3 採用跳板機、操作審計。
2.2.4 sudo集權管理、鎖定關鍵文件。
2.2.5 站點目錄、上傳目錄權限屬組控制。
2.2.6 做系統及站點文件備份指紋監控報警。
2.2.7 動態口令認證。