是否保证了网络端口的安全,理论上就可以阻止一切外部入侵或是病毒感染?

2018-10-31 17:06:27 +08:00
 zjia

对系统和网络的了解有限,我一直有一个疑问,说出来希望各位大佬不要见笑。

任何病毒的传播以及网络入侵,都不能跳出网络协议的范畴对吧?就算是利用系统漏洞,前提也必须是被攻击者的端口是开放的对吧?

那么在初始系统(无论 win 系列还是 linux 系列)纯净的前提下,是否保证了网络端口的安全,理论上是不是就可以阻止一切外部入侵或是病毒感染?

比如说一个网站服务器,仅开放 HTTP、HTTPS、SSH 等协议的端口、以及数据库连接端口,然后屏蔽一切其他无关端口,同时每一个基于该协议的应用都使用强密码,包括系统管理密码在内的所有密码每 3 个月更换 1 次,并且任何管理类的操作仅允许指定 IP 地址连接。

这样是不是就能保障单个服务器的绝对安全了?

望各位大佬指教!

3710 次点击
所在节点    云计算
32 条回复
yzkcy
2018-10-31 17:15:32 +08:00
安全没有绝对。理论上也没有。
你没法保证你开的这些服务是绝对安全的,你没法保证你用的服务器系统是绝对安全的,你没法保证你的系统管理员是绝对安全的......某一个环节出错可能整个体系就崩了。
Keyes
2018-10-31 17:22:20 +08:00
理论上,如果服务器代码是 100%安全的,限制 IP 登录,安全性还是有保障的,可惜没有代码 100%安全

因为:
1、你开放的服务端口,可能会有 buffer overflow 或其他应用层的漏洞可以被利用
2、你的服务器可以被物理泼水 DOS,可以被物理拔盘拷数据
3、密码再强也有可能被碰撞或被 key logger 或被写在日记上或被 MITM 呢
4、不用密码用公钥?好吧这就要继续聊聊客户端安全了
5、限制 IP,万一内网其他人主机被上马当成跳板做横向渗透了呢

绝对安全,是你把数据锁在保险库里,找人看着,这都不算绝对安全,万一监守自盗呢,万一保险库被干了呢,万一核弹了呢

参考一下信息安全三要素( C.I.A.),做一个取舍就好了

公众访问只开放业务端口比如 80、443
运维端口只开放给运维的固定 IP
密码做失败策略

我曾经道听途说某浪的 SSH 服务器 IP 白名单是被硬编码直接编译到 exec 里面的

纯抬个杠 233
geying
2018-10-31 17:27:19 +08:00
人也是突破口
xi2008wang
2018-10-31 17:36:07 +08:00
注意把 USB 端口堵住
likuku
2018-10-31 17:39:18 +08:00
绝对的安全... 不存在的。假若有,那就是把这台服务器烧成灰之后。

3# 直击要害,整个体系里,最薄弱的环节历来都是人。
susecjh
2018-10-31 17:40:08 +08:00
@xi2008wang 真的有
x86
2018-10-31 17:41:39 +08:00
社工
likuku
2018-10-31 17:42:12 +08:00
美剧 [黑客军团 ( Mr.Robot)] 先看一遍吧,信息安全圈子里对这部剧的专业和严谨度是非常认同称赞的。
BOYPT
2018-10-31 17:44:06 +08:00
理论上保证服务器不插电才能保障不被入侵
tan90
2018-10-31 17:45:26 +08:00
我认为做这些,实际上都是在降低中奖的机率,只能是无限接近'绝对安全'。
gamexg
2018-10-31 18:24:38 +08:00
sql 注入了解下
des
2018-10-31 18:31:54 +08:00
水坑攻击了解一下?
likuku
2018-10-31 18:37:10 +08:00
@BOYPT 不插电?还可以派线人 /特工,直接去机房偷硬盘 /整机。
ackfin01
2018-10-31 18:40:09 +08:00
楼上的胸得们 真是笑死人
crab
2018-10-31 19:02:19 +08:00
没法保证 0day 的存在。
KingEngine
2018-10-31 19:06:44 +08:00
要是你的数据没有价值可言,放心,没人黑泥的
akira
2018-10-31 19:06:55 +08:00
HTTP、HTTPS、SSH 等协议的端口、以及数据库连接端口
//这几个端口谁告诉你是绝对安全的,只要用户能数据输入,就有潜在的安全隐患的
KingEngine
2018-10-31 19:07:52 +08:00
理论上只要连了网就可能被攻击,无论你端口怎么的,毕竟还有很多不知道的漏洞
t6attack
2018-10-31 19:15:03 +08:00
那些开放的端口,可能存在未知的远程缓冲区溢出漏洞。
提供 http/https 的 web 服务,可能存在漏洞。
web 服务上运行的 web 程序,可能存在漏洞。
如果机房网络环境不好,可能存在 arp 问题。

以前 nginx 有过一个严重的文件类型解析漏洞。几乎都被人玩坏了,才公开,并出补丁。
251243021
2018-10-31 19:17:43 +08:00
听说过机器转动的声音都能泄密的吗.瑞典有人做到了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/503094

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX