免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 28386 | 回复: 106

参与网站安全技术讨论 赢取最新《高性能网站构建实战》图书(获奖名单已公布13-1-6) [复制链接]

论坛徽章:
0
发表于 2012-12-10 10:06 |显示全部楼层
获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-4062235-1-1.html

背景简介:
      相信很多人一直都对网站的高性能以及服务器稳定的这些方面比较注重,一方面可能是因为成本问题,一方面也有可能是因为量不大,所以对网站的整体安全性就没有太深入的了解和研究。网站的安全问题可以说是互联网比较引人关注的问题。这里涉及的很广泛,不仅仅是系统平台级,还会涉及到用户身的各种份验证、数据各种传输中的加密、网络子网划分、数据灾难备份等多个方面的内容。我们在这里集思广益,说说各种安全性的手段,主要是给大家提供个思路,也是为我们运维人员提供参考。

本期话题:
1:安全的主机登录,包括远程连接及终端登录的软硬件
2:在IDC中网络的规划,包括路由交换防火墙等
3:数据的灾备和恢复
4:网站漏洞的自我挖掘及防护

本期嘉宾:
胡安伟(king_819) 金游数据运维主管
刘  鑫(gray1982)高级系统运维工程师
余洪春(yuhongchun) 资深项目实施工程师、系统架构师

活动时间:
2012年12月10日-12月31日

奖项设置:
最佳交流奖:5名,奖励《高性能网站构建实战》图书一本(gray1982版主最新力作!)
其他所有参与,且回复有效的用户均可以获得CU积分20分

奖品简介:
《高性能网站构建实战》
zcover.jpg

论坛徽章:
0
发表于 2012-12-10 11:38 来自手机 |显示全部楼层
友情顶一下咯

论坛徽章:
154
2022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:5720周年集字徽章-年
日期:2022-10-26 16:44:2015-16赛季CBA联赛之深圳
日期:2022-11-02 14:02:4515-16赛季CBA联赛之八一
日期:2022-11-28 12:07:4820周年集字徽章-20	
日期:2023-07-19 08:49:4515-16赛季CBA联赛之八一
日期:2023-11-04 19:23:5115-16赛季CBA联赛之广夏
日期:2023-12-13 18:09:34
发表于 2012-12-10 11:48 |显示全部楼层
1:安全的主机登录,包括远程连接及终端登录的软硬件
2:在IDC中网络的规划,包括路由交换防火墙等
相信很多公司安全还是狠劲抓这一层的lol

3:数据的灾备和恢复
4:网站漏洞的自我挖掘及防护

论坛徽章:
42
19周年集字徽章-周
日期:2019-10-14 14:35:31平安夜徽章
日期:2015-12-26 00:06:30数据库技术版块每日发帖之星
日期:2015-12-01 06:20:002015亚冠之首尔
日期:2015-11-04 22:25:43IT运维版块每日发帖之星
日期:2015-08-17 06:20:00寅虎
日期:2014-06-04 16:25:27狮子座
日期:2014-05-12 11:00:00辰龙
日期:2013-12-20 17:07:19射手座
日期:2013-10-24 21:01:23CU十二周年纪念徽章
日期:2013-10-24 15:41:34IT运维版块每日发帖之星
日期:2016-01-27 06:20:0015-16赛季CBA联赛之新疆
日期:2016-06-07 14:10:01
发表于 2012-12-10 13:15 |显示全部楼层

目前我们基本上还是靠防火墙。
远程一般只开ssh和必须的服务端口。
限制源地址访问。

平台自身的安全审计和扫描做得还很不够。自我挖掘就更谈不上了。
从前一套redhat9.0都可以用上好几年。ssh漏洞被攻击时有发生。
程序方面,原来基本没考虑过sql注入,跨域脚本之类的问题
最近工信部每年会组织一次安全检查,这方面才重视点。
定时主机安全加固,软件补丁等。
web应用方面,除了程序改进,也有了应用防火墙。

重要数据和程序异地备份也很重要。
原因是最近接连有项目盘阵坏掉。


想看看其他公司的经验。

论坛徽章:
11
CU十二周年纪念徽章
日期:2013-10-24 15:41:342015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-14 10:36:40技术图书徽章
日期:2015-01-12 15:46:11白羊座
日期:2014-11-14 09:35:36狮子座
日期:2014-10-30 13:18:49巳蛇
日期:2014-10-11 12:52:08子鼠
日期:2014-09-28 14:11:06双鱼座
日期:2014-04-22 13:05:48午马
日期:2014-02-11 17:58:002015年迎新春徽章
日期:2015-03-04 09:55:28
发表于 2012-12-10 13:16 |显示全部楼层
1:安全的主机登录,包括远程连接及终端登录的软硬件
答:俺新手,哈哈,安全主机登录,一般都不给root权限,设置个普通用户,执行重要命令sudo替换
远程连接,secureCRT  虚拟机,俺用的是VMware vSphere Client,其他不知道咯。
2:在IDC中网络的规划,包括路由交换防火墙等
答:这个没规划过。
3:数据的灾备和恢复
答:采用备份机,发布使用rsync自动化脚本执行。
4:网站漏洞的自我挖掘及防护
答:坐等大牛,嘎嘎

论坛徽章:
0
发表于 2012-12-10 15:48 |显示全部楼层
回复 7# chinaciscoccie


    改大只是能屏蔽一些默认的扫描,并不是最可靠的。如果改用证书,也许会更好一些

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-12-10 16:25 |显示全部楼层
楼主,活动时间搞错了吧,上来就结束了?

论坛徽章:
13
技术图书徽章
日期:2014-04-29 14:15:42IT运维版块每日发帖之星
日期:2015-12-12 06:20:00IT运维版块每日发帖之星
日期:2015-08-30 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-08-02 06:20:002015年亚洲杯之澳大利亚
日期:2015-04-03 15:03:12申猴
日期:2015-03-20 09:00:292015年迎新春徽章
日期:2015-03-04 09:54:452015年辞旧岁徽章
日期:2015-03-03 16:54:15季节之章:冬
日期:2015-01-20 17:08:47双子座
日期:2014-11-21 16:30:31技术图书徽章
日期:2014-07-11 16:29:08
发表于 2012-12-10 16:52 |显示全部楼层
顶顶更健康!

论坛徽章:
17
CU大牛徽章
日期:2013-03-13 15:32:35午马
日期:2014-07-29 13:09:18未羊
日期:2014-09-19 16:21:07巳蛇
日期:2014-09-29 16:17:06巳蛇
日期:2014-10-16 08:33:00白羊座
日期:2014-10-16 09:10:24申猴
日期:2015-01-09 11:36:332015年亚洲杯之澳大利亚
日期:2015-03-03 13:57:302015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之沙特阿拉伯
日期:2015-03-27 11:24:282015亚冠之阿尔纳斯尔
日期:2015-06-16 11:50:23CU大牛徽章
日期:2013-03-13 15:38:15
发表于 2012-12-10 18:19 |显示全部楼层
说说其中几个话题:
1:安全的主机登录,包括远程连接及终端登录的软硬件
现在绝大多数linux系统都使用SSH远程登录,SSH登录认证主要有两种方式:用户名口令认证和公私钥认证,其中公私钥(证书)认证较复杂,需要生成公私钥对,多用于主机之间信任关系的建立;目前普遍采用的还是用户名口令认证的方式。
安全的主机登录,个人认为可以从如下方面考虑:
1)设置复杂的用户口令,防止被暴力破解;
2)修改ssh默认端口,增加黑客入侵扫描的难度;
3)修改ssh配置文件,设置不能直接使用root用户登录,只能使用普通用户登录,需要root权限时再su过去,或者配置sudo;
4)配置系统iptables,增加ip地址白名单;
5)增加堡垒主机,所有到服务器的登录需要经过堡垒主机,并且堡垒主机可以记录所有的用户操作,有审计的作用。
4:网站漏洞的自我挖掘及防护
这个可以使用商用的扫描工具如nessus、appscan、绿盟等安全扫描软件进行安全扫描;针对web容器和操作系统方面需要升级或者安装补丁的漏洞,一般不建议修复,需要测试验证;web应用方面的漏洞如SQL注入、跨站脚本等需要修改程序或者部署web应用防火墙解决。还可以手动对网站进行渗透测试,也是那些常见的漏洞:SQL注入、跨站脚本、跨站请求伪造、文件包含、上传下载过滤不严等

论坛徽章:
0
发表于 2012-12-10 19:19 |显示全部楼层
有没有网页游戏或者社交游戏后台性能的建议呀??
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP