没有绝对的安全,但是相对的安全差不多就足够了。
相对安全的意思就是说,在你网站做大之前,通常是不会招来【技术在全球范围领先的骇客】攻击,而招来的都是一些能力有限的“骇客”攻击,那么,我们只要了解对手的能力,再去做能力范围内的安全防范就行了。
服务器安全
首先,服务器推荐使用 centos 7.6 或更新的版本,低版本系统可能已经不被官方支持,可能会导致骇客利用未修复的漏洞入侵系统。
1.首次连接服务器,最好更新一下系统中所有的软件,执行命令【yum -y update】。
2.设置网络防火墙,只开放80端口,443这两个网站服务端口。
3.ftp和ssh等服务端口,只向自己的ip段开放。
比如,我家在北京,使用的是联通宽带,我的ip是58.30.83.68(这是假设的ip),由于家庭宽带的ip是动态的,但我这个地区,我这个宽带,ip也只会在58.30.2.2 – 58.30.254.254 这个范围变化,那么我就设置防火墙,只允许58.30.xx.xx的ip连接ssh服务和ftp等其他服务。
这样一来,就避免世界各地的骇客(或学习中的骇客)尝试爆破ssh服务,能一定程度上过滤掉一部分骇客。(即使有骇客会使用代理ip连接,但在此之前,骇客也不知道该用哪个ip段才能访问服务器,也是需要骇客一个一个测试的)
4.修改ssh默认端口,并创建一个新用户,再禁止root用户登录,能一定程度上增加爆破难度。
软件安全
服务器系统层安全做的差不多了,接下来就是避免在服务器上安装带漏洞的软件,或带后门的软件。
想要防范这种情况,第一点就是只安装网站运行必要的软件,第二点就是只安装行业内知名且口碑好的软件,不要随意执行他人提供的sh脚本。
安装服务器软件时,一定要从官方渠道获取,并且要校验软件包的sha1值是否与官方提供的一致。
网站安全
用户访问网站时,是先通过nginx服务器软件的,所以要先在nginx服务器软件层面,做好第一层安全,过滤一部分攻击。
最基础的就是给nginx安装waf防火墙,过滤恶意请求。其他防范手段,要根据实际应用场景进行调整。
目前我们已经做了很多安全防范的工作,但这还不够,如果想要防止网站被骇客控制,还要防止网站程序上的漏洞。
这方面就要依靠开发人员了。
你以为骇客攻击网站都是从技术方面找漏洞的?
还有不少是依靠信息挖掘,和人性的漏洞,加上骇客的分析,进而骇入你的服务器。
原文链接:https://www.cnblogs.com/deepdream/p/12771863.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/17987
