azuginnen
2015-01-07 20:13:19 +08:00
好吧。这是我从v站搜索到的
分享给有需要的人
===
1、修改iptable只开放80端口(或需要使用的其他端口)
2、新建一个用户(eg:tweb),分配某块区间(eg:/usr/www/myweb)的读写权限,并禁止其登陆。tomcat就交给这个用户管理。这样,及时网站被破解了拿到了用户密码,也只能操作这个区间内的东西,不会影响你其他的分区和资源。
3、不要拿tomcat做http服务器,装nginx或apache做这个事情。把图片、css、js等静态资源交给nginx处理,动态请求交给tomcat处理。
4、用类似Fail2Ban这样的东西限制登录次数,保证不被穷举破解。
5、其实,Linux的安全核心应该是:用户+iptable。二者配合,足够啦。
===
另一条
做物理隔离最简单,VPN次之,上公网后安全没有一劳永逸,有的搞。
以linux中debian/ubuntu为例,最基础的:
1. 系统内核参数,改/etc/sysctl.conf 跳转参数。
2. 端口只开放 ssh/http/https, 改ssh 端口到其它数字,并fail2ban,
条件许可时ssh用ip白名单、纯证书访问。
3. 服务器内各进程权限独立,特别是私有程序编译时,除了守护进程用root,其它全部降权。
4. 用户权限与文件夹权限:关闭root登陆,管理员另起sudo用户名,web文件夹755 文件644
各种配置文件640加服务器Deny Access Protection,多用户隔离。
5. 如果允许用户上传文件,取消一切执行权限,最好放在另一台media服务器。
6. Hot Links/Reverse Proxy偷流量好防,DDOS被盯上就要出血,穷人解法用varnish/load balancer稍微挡一下,总之得烧钱。
网站程序自身还要具备各种Validation, SSL加密敏感交互,特殊字符escape,防SQL注入和XSS机制。
Tomcat 和 Oracle具体防护又是另外话题了,感觉运维里面很大一部分成本被安全占了。
===
对于确保linux系统安全的,不知道大家还有没有心得。