参与网站安全技术讨论 赢取最新《高性能网站构建实战》图书（获奖名单已公布13-1-6）

kuang110

回复 27# king_819
这个很有必要，呵呵。

   

Gray1982

回复 39# king_819


    这个相当有必要了

Gray1982

回复 37# zhengsenlin888


    上面那些条都不错，大部分应用也就是这样


      生成的KEY是一对，服务器上和本地各一个，这个key并不是限制IP什么的，只要是你有KEY，服务器也有相应的配对的，就可以登录。当然这个KEY也可以设置密码，这是相对来说比较常用的方式。
      root一定是不允许SSH登录的。用自己的账号登录 ，对审计也是很方便的。你可以sudo嘛。
      软件的启动你难道用root权限？一般都是用相应的普通用户做为启动程序的用户。所以你批量部署也是没问题的。有KEY了，密码都不用写了

Gray1982

回复 38# zhengsenlin888


    动态密码这个不是短信，我记得工行的网上银行就是个动态KEY的
有软件可以实现，名忘了，但是收费的

Gray1982

回复 40# herofrank


    很不错，兄弟的这些也是很OK的

智勇双全

回复 44# Gray1982


  是用双因素认证方式（个人PIN+SecurID令牌提供的随机码）验证的，这个一般在关键的业务系统才这样使用。

当年做了个测试，可以参考下图。

智勇双全

回复 46# 智勇双全


    这个是用在管理服务器登录验证的方案。

智勇双全

回复 12# DiDeCrouse


        这位兄弟做法跟我们公司现行的方式基本一致。而且在选择扫描工具上也是一样的。。。做运维最怕的就是开发人员安全意识不够。经常性做些扫描给他们敲敲警钟。

就在前两周请绿盟的安全工程师上门做了安全培训。

Gray1982

智勇双全 发表于 2012-12-11 16:26
回复 44# Gray1982

我朋友也在用这些玩意，是对数据库的操作，安全

fire_cpp

ssh绝不使用密码登录，使用密钥方式。而且密钥自身的密码也要是强密码，并且定期更换密钥（只是不要出现换密钥时流程出错把自己锁在外面这种欢乐的情景）。不要图省事——我搞不懂为什么很多人只是使用密码。
防火墙一定要有，最好对发出的数据包也进行一定的限制，防止反向连接攻击。

其实有防火墙、使用密钥之后，针对系统本身的远程漏洞基本上会被堵住，ＷＥＢ应用（或其它应用）的安全才是头等重要的。用各种流行的漏洞扫描工具把网站扫描一遍，可以事先预防９０％的攻击——多数攻击只是漫无目的的扫描漏洞而已。