参与网站安全技术讨论 赢取最新《高性能网站构建实战》图书（获奖名单已公布13-1-6）

sunny7476

友情支持一下。
自己做的是本地软件，方向不同。。。

frogoscar

一般都是SSH吧

kinfinger

:wink:,经验不足，友情支持

kuang110

1：安全的主机登录，包括远程连接及终端登录的软硬件
a.远程登录禁止使用telnet、rlogin等明文传输的协议，要使用ssh等加密传输的协议。
b.远程登录尽量不要用root帐号，先用低权限帐号登录，有必要再su成root。
c.口令强度、定期更换等等（什么数字字母特殊字符……90天强制更换…………）
d.本地登录使用动态令牌（RSA那种）或增加USBKEY认证。
2：在IDC中网络的规划，包括路由交换防火墙等
a.安全域划分
b.管理域隔离
c.用户权限分离（管理、操作、审计分权），口令强度定期更换，开启aaa认证，超时退出，口令三次错误断开……
d.限定设备管理地址
3：数据的灾备和恢复
a.定期备份
b.定期恢复演练
c.定期检查备份数据有效性
d.异地备份
4：网站漏洞的自我挖掘及防护
a.网站主要架构：主机操作系统、中间件、数据库、应用程序代码……
b.主机定期打补丁、漏洞扫描、杀毒、用户口令及权限管理（起web服务的尽量不要用root权限账户）、服务最小化……
c.中间件补丁、关闭危险http方法、最小化安装、删除管理页面、更改默认管理帐号及口令……
d.数据库补丁、删除危险组件（mssql的xp_cmdshell等）、为应用建立单独低权限帐号、更改默认帐号、加强口令、删除冗余帐号……
e.黑盒测试方面：定期漏洞扫描（可以用appscan、AWVS、jsky、sqlmap等等，参考owasp的漏洞及检测方法）
f.白盒测试方面：上线前、增加新功能模块前进行源代码审计（可用fotiy、checkmarx等工具）。
g.尽量不要用开源的整站程序，如果用了，需要更改认证部分代码（cookie生成等）、数据库连接模块等重要更模块。
还有很多细节需要注意，呵呵，先来这些，希望以后有机会和大家一起研究探讨。

cxhzqhzq

数据的灾备和恢复
    这个可以考虑做raid来实现数据的备份功能。
除此之外，现在比较 流行的就是对数据进行定期备份，存放在不同的数据中心。
这样一旦一个数据中心挂了，数据最起码可以很快恢复到几个小时之前的内容。
这样就可以讲影响降到最小。
例如google或者amazon。

Gray1982

DiDeCrouse 发表于 2012-12-10 18:19
说说其中几个话题：
1：安全的主机登录，包括远程连接及终端登录的软硬件
现在绝大多数linux系统都使用SS ...

兄弟 这2条总结的不错

Gray1982

回复 13# bellszhu


    这个你说的面太大，不好说。有个架构吧，不然··········

Gray1982

kuang110 发表于 2012-12-10 21:30
1：安全的主机登录，包括远程连接及终端登录的软硬件
a.远程登录禁止使用telnet、rlogin等明文传输的协议， ...

在这几个方面，兄弟总结有也不错，很好

tulip0425

谢谢你哦，你是最棒的

king_819

回复 12# DiDeCrouse


    堡垒主机不同的维护人员分配不同的权限，如果有实力的公司，可以自行开发B/S模式的运维工具，这样无须登录服务器

    IBM的appscan是一个很不错的扫描工具，可以全方面的发现网站潜在的威胁，只是这是一个商业软件，不过网上也有很多破解版