免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: Gray1982

参与网站安全技术讨论 赢取最新《高性能网站构建实战》图书(获奖名单已公布13-1-6) [复制链接]

论坛徽章:
13
技术图书徽章
日期:2014-04-29 14:15:42IT运维版块每日发帖之星
日期:2015-12-12 06:20:00IT运维版块每日发帖之星
日期:2015-08-30 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-08-02 06:20:002015年亚洲杯之澳大利亚
日期:2015-04-03 15:03:12申猴
日期:2015-03-20 09:00:292015年迎新春徽章
日期:2015-03-04 09:54:452015年辞旧岁徽章
日期:2015-03-03 16:54:15季节之章:冬
日期:2015-01-20 17:08:47双子座
日期:2014-11-21 16:30:31技术图书徽章
日期:2014-07-11 16:29:08
发表于 2012-12-10 16:52 |显示全部楼层
顶顶更健康!

论坛徽章:
17
CU大牛徽章
日期:2013-03-13 15:32:35午马
日期:2014-07-29 13:09:18未羊
日期:2014-09-19 16:21:07巳蛇
日期:2014-09-29 16:17:06巳蛇
日期:2014-10-16 08:33:00白羊座
日期:2014-10-16 09:10:24申猴
日期:2015-01-09 11:36:332015年亚洲杯之澳大利亚
日期:2015-03-03 13:57:302015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之沙特阿拉伯
日期:2015-03-27 11:24:282015亚冠之阿尔纳斯尔
日期:2015-06-16 11:50:23CU大牛徽章
日期:2013-03-13 15:38:15
发表于 2012-12-10 18:19 |显示全部楼层
说说其中几个话题:
1:安全的主机登录,包括远程连接及终端登录的软硬件
现在绝大多数linux系统都使用SSH远程登录,SSH登录认证主要有两种方式:用户名口令认证和公私钥认证,其中公私钥(证书)认证较复杂,需要生成公私钥对,多用于主机之间信任关系的建立;目前普遍采用的还是用户名口令认证的方式。
安全的主机登录,个人认为可以从如下方面考虑:
1)设置复杂的用户口令,防止被暴力破解;
2)修改ssh默认端口,增加黑客入侵扫描的难度;
3)修改ssh配置文件,设置不能直接使用root用户登录,只能使用普通用户登录,需要root权限时再su过去,或者配置sudo;
4)配置系统iptables,增加ip地址白名单;
5)增加堡垒主机,所有到服务器的登录需要经过堡垒主机,并且堡垒主机可以记录所有的用户操作,有审计的作用。
4:网站漏洞的自我挖掘及防护
这个可以使用商用的扫描工具如nessus、appscan、绿盟等安全扫描软件进行安全扫描;针对web容器和操作系统方面需要升级或者安装补丁的漏洞,一般不建议修复,需要测试验证;web应用方面的漏洞如SQL注入、跨站脚本等需要修改程序或者部署web应用防火墙解决。还可以手动对网站进行渗透测试,也是那些常见的漏洞:SQL注入、跨站脚本、跨站请求伪造、文件包含、上传下载过滤不严等

论坛徽章:
0
发表于 2012-12-10 19:19 |显示全部楼层
有没有网页游戏或者社交游戏后台性能的建议呀??

论坛徽章:
3
卯兔
日期:2013-08-15 13:17:31处女座
日期:2014-01-10 11:35:23双子座
日期:2014-01-25 02:16:06
发表于 2012-12-10 20:26 |显示全部楼层
友情支持一下。
自己做的是本地软件,方向不同。。。

论坛徽章:
0
发表于 2012-12-10 20:31 |显示全部楼层
一般都是SSH吧

论坛徽章:
0
发表于 2012-12-10 20:32 |显示全部楼层
:wink:,经验不足,友情支持

论坛徽章:
0
发表于 2012-12-10 21:30 |显示全部楼层
1:安全的主机登录,包括远程连接及终端登录的软硬件
a.远程登录禁止使用telnet、rlogin等明文传输的协议,要使用ssh等加密传输的协议。
b.远程登录尽量不要用root帐号,先用低权限帐号登录,有必要再su成root。
c.口令强度、定期更换等等(什么数字字母特殊字符……90天强制更换…………)
d.本地登录使用动态令牌(RSA那种)或增加USBKEY认证。
2:在IDC中网络的规划,包括路由交换防火墙等
a.安全域划分
b.管理域隔离
c.用户权限分离(管理、操作、审计分权),口令强度定期更换,开启aaa认证,超时退出,口令三次错误断开……
d.限定设备管理地址
3:数据的灾备和恢复
a.定期备份
b.定期恢复演练
c.定期检查备份数据有效性
d.异地备份
4:网站漏洞的自我挖掘及防护
a.网站主要架构:主机操作系统、中间件、数据库、应用程序代码……
b.主机定期打补丁、漏洞扫描、杀毒、用户口令及权限管理(起web服务的尽量不要用root权限账户)、服务最小化……
c.中间件补丁、关闭危险http方法、最小化安装、删除管理页面、更改默认管理帐号及口令……
d.数据库补丁、删除危险组件(mssql的xp_cmdshell等)、为应用建立单独低权限帐号、更改默认帐号、加强口令、删除冗余帐号……
e.黑盒测试方面:定期漏洞扫描(可以用appscan、AWVS、jsky、sqlmap等等,参考owasp的漏洞及检测方法)
f.白盒测试方面:上线前、增加新功能模块前进行源代码审计(可用fotiy、checkmarx等工具)。
g.尽量不要用开源的整站程序,如果用了,需要更改认证部分代码(cookie生成等)、数据库连接模块等重要更模块。
还有很多细节需要注意,呵呵,先来这些,希望以后有机会和大家一起研究探讨。

论坛徽章:
0
发表于 2012-12-10 21:45 |显示全部楼层
数据的灾备和恢复
    这个可以考虑做raid来实现数据的备份功能。
除此之外,现在比较 流行的就是对数据进行定期备份,存放在不同的数据中心。
这样一旦一个数据中心挂了,数据最起码可以很快恢复到几个小时之前的内容。
这样就可以讲影响降到最小。
例如google或者amazon。

论坛徽章:
0
发表于 2012-12-10 21:56 |显示全部楼层
DiDeCrouse 发表于 2012-12-10 18:19
说说其中几个话题:
1:安全的主机登录,包括远程连接及终端登录的软硬件
现在绝大多数linux系统都使用SS ...


兄弟 这2条总结的不错

论坛徽章:
0
发表于 2012-12-10 21:56 |显示全部楼层
回复 13# bellszhu


    这个你说的面太大,不好说。有个架构吧,不然··········
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP