标签:因此 blank any hash none 防止 限制 角度 head
linux 系统如何防止被×××挂×××程序,可以从多个角度进行思考,×××怎么会到linux服务器上,肯定是有入口被上传过去的,因此我们要从入口切断,我们要在web站点通过程序代码设置关卡,让可执行程序禁止上传。如果×××被上传成功了,但是×××怎么可以执行它的功能呢??
1.1 linux 系统如何防止被×××挂×××程序,可以从多个角度进行思考,×××怎么会到linux服务器上,肯定是有入口被上传过去的,因此我们要从入口切断,我们要在web站点通过程序代码设置关卡,让可执行程序禁止上传。如果×××被上传成功了,但是×××怎么可以执行它的功能呢,因为通过上传入口上传的文件统一在一个目录里,因此我们可以把该目录挂载参数设置为-exec参数,让×××无法执行。
1.2 要有必要的防御措施,×××如果能执行了,它会做一些什么操作,悄悄提权,改配置文件,改重要应用配置文件,盗取资料。我们平时要有机制对重要的系统配置文件,应用配置文件的监控及备份,和比对,如果有操作更改要记录要更新,对异常更改要警惕,更改了什么东西,会造成什么后果。
2.1.1 开发程序代码对上传文件类型做限制,例如不能上传.php程序(JS及后端代码控制)。
2.1.2 对上传的内容(包括文本和文件)检测,检测方式可通过程序、Web服务层(中间件层)、数据库等层面控制。
2.1.3 控制上传目录的权限以及非站点目录的权限(Linux文件目录权限+Web服务层控制。
2.1.4 传上传×××文件后的访问和执行控制(Web服务层+文件系统存储层。
2.1.5 对重要配置文件、命令和WEB配置等文件做md5指纹及备份。
2.1.6 安装杀毒软件clamav等,定期监测查杀×××程序。
2.1.7 配置服务器防火墙。
2.1.8 监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。
2.2.1 Web化管理服务器。
2.2.2 ssh监听内网。
2.2.3 采用跳板机、操作审计。
2.2.4 sudo集权管理、锁定关键文件。
2.2.5 站点目录、上传目录权限属组控制。
2.2.6 做系统及站点文件备份指纹监控报警。
2.2.7 动态口令认证。
标签:因此 blank any hash none 防止 限制 角度 head
原文地址:https://www.cnblogs.com/chacha51/p/11219793.html
