最近自己建了個網站,網站安全搞了一陣,閒來沒事就寫寫總結,方便以後查看。
建議
服務器上能少開的端口就少開
服務器最好禁ping
服務器最好使用祕鑰登錄,禁止root賬號登錄
應用程序千萬不要使用root啓動!!mysql、nginx、java程序這些最好用其他用戶啓動。還有,運行的用戶不允許對源代碼有修改的權限!
程序如果有上傳文件的功能,相應的目錄不能有執行的權限。
關於暴露服務器真實ip的問題,如果作爲web網站,除了購買高仿IP,好像別無選擇。。 我的網站目前沒管,用cdn好像也沒多大作用
對於公開訪問的網站,一定要做好防xss、CSRF、sql注入,具體如何防禦,請百度。對於ddos,就別想防了,不過阿里雲有5G的免費防禦可以用,超了沒法,早點洗洗睡吧!有錢人另說
千萬不要以爲用戶的輸入是合法的,一定要控制輸入的內容。要採取防禦式的方式去處理應用。確保應用的安全。一般我們提倡的是:防禦式架構和防禦式編程
服務器最好裝個fail2ban,開啓sshd、sshd-ddos、mysql防護,另外配合nginx監控日誌來防護,目前記得的就這些
nginx做好網站限流配置
修改linux系統內核參數配置,sysctl.conf
現在的技術已經很發達了,網絡安全防不勝防,沒有百分百的安全,上面的建議對於一般的公司網站來說,差不多夠用了。暫時想到這麼多,後面想到再補充吧!