最近有個客戶需要使用網頁防篡改服務,順道學習了天翼雲上網頁防篡改產品的部署及使用,本文對網頁防篡改服務的工作原理及部署過程及部署中需要注意的方面進行回顧。
一、網頁防篡改工作原理
1、系統架構
網頁防篡改服務的經典場景如上圖,在客戶需要防護的vpc內新建一臺雲主機,使用網頁防篡改鏡像加載即可,保證防篡改服務器雲主機與準備防護的客戶網站雲主機在同一個vpc內,網頁防篡改架構是標準的c/s架構。
防篡改服務器側的用戶接口通過apache提供圖形化的網頁接口供用戶註冊服務及進行服務使用,後端使用public_server響應網頁的調用及協調dlsync服務,數據庫使用mongdb;
防篡改客戶端在用戶的網站雲主機上安裝一個代理程序,該代理分兩塊km、dlsync組成,dlsync與服務器端配合完成文件的同步確保防篡改服務器與保護客戶端文件的一致,dlsync的文件上傳使用ftp的60000-60010端口,對客戶端的網站路徑進行防護使用km組件,km通過antitamper_km將模塊注入linux內核,通過內核監控保護指定的目錄文件,使保護範圍內的文件處於無法修改及刪除狀態除非通過dlsync從防篡改服務端的命令實現文件的增刪改。
2、文件防篡改原理
網站目錄文件保護功能:
通過網頁交互將網頁監控目錄信息注入到網頁服務器的agent中,agent通過km進入linux內核對指定的監控目錄進行權限限制,對指定目錄下的文件無法進行增刪改操作,實現了對網站目錄下文件的保護功能;
網站目錄下文件同步功能:
因爲無法對源網站目錄下文件進行增刪改操作,所以需要對網站的源目錄在防篡改服務器端的默認目錄/var/www/ftp下新建一個網站備份目錄並將源站的文件全部複製到此位置,系統通過dlsync對文件進行監控及同步,今後對客戶網站的增刪改操作都通過對防篡改服務器備份目錄下的文件進行操作後自動同步實現;
存在的缺陷:
如果你通過數據庫的形式直接修改內容或通過網站後臺管理頁面還是可以修改網站內容,繞過網站防篡改系統的監管。
二、防篡改服務部署主要流程
1、在網站vpc內新建一臺ecs,鏡像選擇公有鏡像-網頁防篡改;
2、新建或修改網頁防篡改及網頁服務器所在的安全組策略,新增tcp8011、tcp60000-60010,tcp 1443,udp8020端口的訪問
3、在網頁服務器上系統防火牆上新增tcp8011、tcp60000-60010的端口訪問
4、通過網頁防篡改服務器互聯網ip地址:1443端口訪問防篡改服務器網頁控制端
5、在網頁服務器上下載安裝防篡改agent客戶端,wget http://oos-cn.ctyunapi.cn/downfile/2020%20download/antitamper_client_v4.5.56.84_centos_redhat_20200307.tar.gz
6、在網頁服務器上解壓安裝agent客戶端 ,主要注意填寫的服務器ip爲防篡改服務器的內網ip地址
7、確定agent安裝成功後在防篡改服務器網頁上添加管理服務器,服務器的ip也要填寫內網ip地址
8、至此如果你上面的幾部都正確,可以在5秒時間內看到添加後的管理服務器圖標由灰變綠,如果沒有變綠重點檢查網絡安全配置及ip地址是否填寫正確
9、ssh進入網頁服務器將源站的網頁目錄文件全部備份進入防篡改服務器的/var/www/ftp/源站名目錄下,備份完成後通過du -h對比一下源站目錄及備份目錄下的文件大小是否一致,確定是否備份完整;
10、確定原站備份完整後進行防篡改網頁操作,添加站點,這裏需要注意的是對網站中的一些不能防護的目錄必須要添加進例外中,否則會出現用戶源站不能訪問的重大故障,還有如果沒有將用戶的源站文件完整備份過來至防篡改服務器下添加站點後會出現刪除源站的重大故障;
11、排除目錄的輸入格式不能是全路徑只能是相對路徑,比如全路徑是/www/wwwroot/demo1 排除的目錄就應該是runtime/*,不能寫成/www/wwwroot/demo1/runtime/*;
三、防篡改產品的使用心得
一、安裝部署過程對用戶的要求比較高,如果操作失誤會導致用戶的源站掛掉,風險很大;
二、防護效果有限,僅僅針對網站的指定目錄下文件進行防護,如果網站有其他的漏洞還是會被改掉,只能算是具備防文件篡改功能;
三、產品支撐需要對客戶網站的目錄結構及網站架構非常瞭解,最好在安裝部署時爭取用戶網站的建設商配合,需要明確把網站運行時需要動態變化的目錄排除掉,需要在數據庫外保持的上傳目錄也排除掉,否則用戶安裝了防篡改服務後網站的正常數據更新將不能使用;
四、安裝完成後用戶的網站程序更新需要告知網站程序維護商不能採用原來的維護模式,需要從防篡改服務器的備份目錄下進行修改自動同步;