时代在变,人也在变,在机器智能人还没完全发展的今天,我们先“智能点”,懒点!回想那日日夜夜为了系统安全,网站安全,网站速度,服务器放在那里,而想白了头,做穿了椅子。。。。。其实大家不用各自为战,所有安全人员团结起来,把所有的技术,所有的资源同一起来,组成安全联盟,一次性解决所有的安全为题,什么注入,ddos,溢出,都是浮云。。。
最近忙于网站开发,好久没写文章了,可是最近看到国内的dnspod和安全宝合作了,很是高兴,终于出现了一个免费的安全联盟。。。其实如有大家有资源带宽和机子可以搭建一个安全小圈子,把安全人员,开发人员分开来,统一管理,入伙自己的安全小圈圈,下面就是对安全宝构架的技术猜测,支持安全宝,支持开源世界,linux/bsd万岁,nginx万岁!!
以上是一个简单的防御模型,下面讲解下各种功能:
1、总部核心调度节点负责,修改DNS服务器记录,根据不同的ip geoip不同的后台cdn安全节点,负责用户的注册,添加网站真实IP,并把最后的设置同步到各个地方节点的nginx 上
2、地方节点nginx 负责网站(可以多IPupstream 10秒超时 haship)的方向代理,nginx缓存,加上naxsi 开源可学习型web防护墙(用于对付sql注入,cc,xss攻击等应用层web防护) 加上最近才出来的nginx_pagespeed模块进行智能优化压缩网页。。。
3、防火墙用于最基础的网络ddos防御,iptables防御 ipset超时block控制,并发,tcpflags 状态控制
总结起来:对于普通用户估计只用到了nginx 方向代理 开源nginx_waf naxsi防护墙 netfilter防护墙或者购买的ciso华为专业防火墙 nginx缓存cdn 以及对于nginx还处于测试阶段的pagespeed模块。。。很简单,不过对付一般的黑客,ddos还是够的!
好了,光有以上防御我们就安全了吗?差远了!!
1、原始服务器和安全宝的cnd安全节点估计没有启用高级溢出防御系统
2、网站数据完整性安全和备份功能没有,或者备份了没有加密
3、是否真的能防御头疼的sql注入。。。没有采取根本的防御措施
4、基本上只是对站点进行了防御,我们的ssh,系统安全谁去管
5、所在服务器的xen,kvm环境谁去管,假如有要求保密的源码,人家cp一份xen镜像,挂在在别的系统上,秘密全无!!!!
6,黑客入侵的行为分析,是个空白,安全宝无法帮我们开启MAC强制访问安全
7、没有任何网络入侵检测系统监控,发生网络入侵只能被动的去防御,我们难道要24小时监控自己的网站!!
8、我们的原始服务器安全宝没有给我们优化。。。
怎么办呢!!!!!!!!!!
1、在cdn节点(如果cdn不安全了,人家直接修改cnd中的缓存!!我们的网站不是躺着中枪了啊)还有原始服务器开启高级安全防御系统grsecurity 打入pax防溢出加固补丁,使用paxctl -PEMXSR最高安全加固nginx apache sshd等,防止未知漏洞,或者直接采用openbsd,从源码 libc编译库防止溢出漏洞。反正一般的xen kvm 站点根本不需要那么高的性能,带宽能上10M谢天谢地了!
2、对网站或者后天服务器自定义md5 sha1文件签名,或者使用ade Tripwire等。同事定期备份所有重要数据
3、不要使用msql postgresql数据库,直接采用NOSql构架,redis彻底防御sql注入,省的php过滤这个过滤那个,本来php字符性能就低!抛弃apache,充分研究透nginx if allow dengy lua安全应用,构建比nasix更严格的访问控制,免费的应用层防火墙哦,比iptables-l7lay ,等方便多了,省的去研究编写特征吗,mygod!!什么流控,p2p,迅雷特诊吗头大了好多年了!!
4、请查看服务器最高安全防御策略选择与差异,分层纵深防御,一切黑客入侵都是浮云 等文章对系统进行基本的伪装加固
5、启用lvm加密卷或者ecrypt文件系统,对重要数据存放分区经行加密,非常有必要!
6、没有必要请使用debian/ubuntu系统,可以大规模定制所有的MAC安全,内核等,grsecurty tomoyo apparom都是比selinux容易学习的MAC,虽然说是基与文件路径的不安全,可是谁又能保证selinux的标签不会被更改呢!!定制精简内核也很重要关闭所有的无用驱动,模块,控制内核在1.8M以内!
7、如果是单独的有专用服务器请开启科莱全网分析监控,或者suricata snort等老一代IDS/IPS
最起码你要开启portsentry监控下。。看看谁在黑你,好采取相应的防御方法
8、系统的sysctl优化,编译优化,就不谈了,老生长谈的。。。
9、注意一点就是,定制内核的时候不要光定制一个内核版本,应该是2+1 一个原始发行版内核,防止意外 一个是3.2.44稳定版 一个是3.9最新版,防止重大的内核漏洞,切换用!!
10、 我们经常考虑权限MAC颗粒化的同时也要考虑系统,服务软件的,内核的功能以及服务对象范围的颗粒化问题,要什么就整什么,不需要的全部删除,多一个无用功能多一分风险,能静态不搞动态,能底层不上升到高层,能tcp/ip不上升到行为分析,大规模屏蔽用白名单,小规模用黑名单,建立长久的ip 信用库很重要,管你什么攻击,看你的ip信用不高,直接封杀,懒得去分析什么行为,规则!这个很爽,比如你的业务就是北京,那么请把所有非北京的ip全部封杀,包括代理一个用代理上网的用户,应该不是你需要的用户!
11、主动防御,我们为什么不能反过来“攻击”下攻击你的人呢,他们nmap你的同时,有空也nmap他一下,这样我们能更加了解你的对手,有针对的性的他黑客引导到你设的蜜罐中去,研究学习,这可是免费的学习技术的好机会啊,不要放过!山外有山,人外有人,希望能遇到比自己更厉害的人, 学习他们的技术方法,在提高网站防御能力的同时对自己的技能也是一个提高!
最后就是对系统的测试了,请使用所有web安测试软件,攻击软件,360等。。。最少10种把攻击入侵自己的网站!(小心使用DDOS别误杀了别人) 好了,技术无极限,生命有尽头,希望大家多多交流,共同进步!
本文出自 “清蒸BSD红烧LINUX” 博客,请务必保留此出处http://cookingbsd.blog.51cto.com/5404439/1190159
原文链接:https://www.cnblogs.com/xztx/archive/2013/05/24/3096896.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21046