Linux系统安全优化系列必备技能有什么?
老男孩IT教育
常见问题
2020年12月3日 15:24
Linux网站安全是现在各企业都注重的问题,那么老男孩Linux运维培训班学习过程中,网站安全基础配置是怎么操作的?老男孩Linux培训教程都学哪些内容?运维有哪些必备知识点技能?想更高效的学习Linux运维课程,推荐关注老男孩教育Linux培训
1 站点目录权限 /app/blog
f644 d755 root root
上传 /app/blog/uploads
f644 d755 www www
2 上传之后无法运行
挂载参数 nodev nosuid noexec
3 只让网站上传指定类型的文件。
如果扩展名不是.zip或.jpg 提示403
如果扩展名是.zip或.jpg 提示403
location #匹配请求里面的uri
location /
location = /
location ~ /
location ~* / #不区分大小写正则
location /uploads {
if ( $request_uri !~ \.(zip|jpg)$ ) {
return 403;
}
}
4 检查出网站文件被修改了
每次代码更新 创建一个 md5sum sha128sum sha2 sha512sum
每5分钟 进行对比 发送报警
find /code/wordpress/ -type f |grep -v '/wp-content/uploads' |xargs md5sum
注意:要排除站点目录里面的缓存文件和上传目录
5 rpm -aV 与软件安装的时候 (yum rpm )
系统的命令和配置文件是否变了(yum 和rpm安装的软件)
6 clamav
clamav* (epel)
clamscan -ri /oldboy/wordpress
7 waf 防火墙 应用防火墙
https://blog.oldboyedu.com/nginx-waf/
网站安全解答战略
去企业面试时是有多位竞争者的,因此要注意答题的维度和高度,一定要直接秒杀竞争者,搞定高薪offer。
(一)解答战术
因为Linux下的木马常常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器的,可根据从恶意者访问网站开始-->Linux系统-->HTTP服务-->中间件服务-->程序代码-->DB-->存储,层层设卡防护。
(二)从用户访问角度解答参考
开发程序代码对上传文件类型做限制,例如不能上传。php程序(JS及后端代码控制)。
对上传的内容(包括文本和文件)检测,检测方式可通过程序、Web服务层(中间件层)、数据库等层面控制。
控制上传目录的权限以及非站点目录的权限(Linux文件目录权限+Web服务层控制)。
传上木马文件后的访问和执行控制(Web服务层+文件系统存储层)。
对重要配置文件、命令和WEB配置等文件做md5指纹及备份。
安装杀毒软件clamav等,定期监测查杀木马。
配置服务器防火墙及入侵检测服务。
监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。
(三)从内部管理人员角度:防止被提权
管理服务器或Web化管理服务器。
ssh监听内网。
采用跳板机、操作审计。
sudo集权管理、锁定关键文件。
站点目录、上传目录权限属组控制。
做系统及站点文件备份指纹监控报警。
动态口令认证。
更多Linux技术知识,推荐关注老男孩Linux培训课程。老男孩教育Linux培训班,从0基础到云计算架构,是一系列的实践课程。在Linux基础、云计算运维、Docker容器、集群与存储、数据库管理、安全技术、自动化运维、Python开发等方面的教学,帮助学生高效学习Linux技术,奠定坚实的理论基础和优秀的实践能力。帮助更多的Linux爱好者成为更好的Linux运维工程师。