参与网站安全技术讨论 赢取最新《高性能网站构建实战》图书（获奖名单已公布13-1-6）

智勇双全

回复 12# DiDeCrouse


        这位兄弟做法跟我们公司现行的方式基本一致。而且在选择扫描工具上也是一样的。。。做运维最怕的就是开发人员安全意识不够。经常性做些扫描给他们敲敲警钟。

就在前两周请绿盟的安全工程师上门做了安全培训。

Gray1982

智勇双全 发表于 2012-12-11 16:26
回复 44# Gray1982

我朋友也在用这些玩意，是对数据库的操作，安全

fire_cpp

ssh绝不使用密码登录，使用密钥方式。而且密钥自身的密码也要是强密码，并且定期更换密钥（只是不要出现换密钥时流程出错把自己锁在外面这种欢乐的情景）。不要图省事——我搞不懂为什么很多人只是使用密码。
防火墙一定要有，最好对发出的数据包也进行一定的限制，防止反向连接攻击。

其实有防火墙、使用密钥之后，针对系统本身的远程漏洞基本上会被堵住，ＷＥＢ应用（或其它应用）的安全才是头等重要的。用各种流行的漏洞扫描工具把网站扫描一遍，可以事先预防９０％的攻击——多数攻击只是漫无目的的扫描漏洞而已。

Gray1982

fire_cpp 发表于 2012-12-11 18:47
ssh绝不使用密码登录，使用密钥方式。而且密钥自身的密码也要是强密码，并且定期更换密钥（只是不要出现换密 ...

理论上防火墙是不错，但还是说，就是因为对包括的检查会导致速度的减慢。做好防御在系统级和软件级也是可以的

bellszhu

各种buffer？？是指mysql的自己的缓存吗？？ 请指教回复 36# Gray1982


   

londy08

坐等大牛给建议.

Gray1982

回复 52# bellszhu


    是的，索引的、查询的、表的多了··········

Gray1982

回复 53# londy08


    基本的差不多了，你那堡垒机怎么创建的？
链路、设备的热备也要考虑下成本的问题

fire_cpp

Gray1982 发表于 2012-12-11 20:14
理论上防火墙是不错，但还是说，就是因为对包括的检查会导致速度的减慢。做好防御在系统级和软件级也 ...

那倒是，会减慢速度，感觉有１０％左右的下降。如果是单台主机提供服务（很多草根站长甚至小企业都是这样的），没办法，只有以效率换安全。裸奔我总会觉得难受。
如果是集群这种更正式的生产环境，有硬墙或者一台专门配置的防火墙主机的话，那点性能下降应该是可以接受的。

Gray1982

回复 56# fire_cpp


不加防火墙的话可以在系统和软件做些防护是可以的，大多游戏、视频等网站前不加这些玩意