道路千万条,安全第一条,开发不规范,用户两行泪

2019-11-21 10:50:11 +08:00
 demolibs

事件背景: 昨晚我们线上服务被恶意调用了,出现大量随机请求,猜测是想暴力破击我们管理后台,窃取用户数据。

部分服务器日志截图:

https://static.demolibs.com/v2ex/%E8%A2%AB%E8%B0%83%E6%88%8F%E4%BA%86.jpg ( PS:充值 V2EX 会员后,图片还是没法上传,所以用的七牛云,V 友见谅)

所以想跟 V 友们一起讨论下网站安全的措施,防范于未然。

目前我们的安全措施:

一、运维方面:

1、所有服务器都禁用 root 登陆功能,防止被别人通过 root 暴力破解。

2、程序部署、数据库都用不同的账号管理,不同账号职责不同。

3、数据库一定要设置密码,特别说明:MongoDB、Redis 是默认没有密码的。

二、程序方面:

1、程序部署最好用 Git 统一管理。区分 master、test、dev 等环境,紧急修复问题用 fix_分支。

2、程序日志一定要打印好!访问日志、404 等错误日志都要打印,监控异常。

3、日志里边要添加 IP 地址,为了以后对恶意请求做限制(当然,如果遇到 DDoS 攻击的话,光这点肯定不够)

一起讨论下安全吧

V 友们还有其他的安全测录?一起来分享一下,互相抱团更安全。

关于我们

我们初创的网站:呆萌库 | 一个自由定制的主页 网址: https://demolibs.com/ 留言板: https://support.qq.com/products/96596

5863 次点击
所在节点    程序员
33 条回复
fanyingmao
2019-11-22 08:57:38 +08:00
感觉爆破密码还是比较困难的,没设密码端口外放有遇到过一些。
lc7029
2019-11-22 09:50:30 +08:00
1,服务器只允许内网登陆,且登陆必须通过堡垒机。
2,服务按类型部署在内网,ACL 控制内网间调用。比如 10.0.0.0/24 给核心网,10.0.1.0/24 给安全设备,10.0.2.0/24 给数据库,数据库不能访问核心网等。
3,内网部署安全设备,比如 DDOS 防火墙,流量清洗,堡垒机,数据库审计,IPS 等设备。
4,CDN 配置 WAF 功能。
5,想起来再写。
demolibs
2019-11-22 10:26:54 +08:00
@struggle001 多谢您的建议。
我们的服务器只暴露业务相关接口,链路如下:
http 请求 -> 云服务器(centos) -> 服务器防火墙(firewalld) -> Nginx -> 后端业务程序。

SQL 防注入是个很古老,很重要的问题,项目内部代码审核还是很有必要的,尤其是 SQL 注入和满 SQL。
demolibs
2019-11-22 10:28:29 +08:00
@Andy1999 好滴~~ 云服务商的高防,让开发运维又轻松了不少
demolibs
2019-11-22 10:31:15 +08:00
@zarte “挑了几条在 nginx 上弄重定向到百度搜索我的站点的连接”
这操作听起来很赞👍啊
demolibs
2019-11-22 10:33:37 +08:00
@cydian 多谢啦,能收到用户的反馈,是我们最大的期望。
请发到我们的邮箱吧: demolibs@foxmail.com
demolibs
2019-11-22 10:39:28 +08:00
@l4ever 堡垒机确实很安全,做到内网隔离。
一般大公司都是有专门运维团队来搭建的。
初创公司,我们目前还没有对接这块,以后业务起来,确实得加上。
中小公司,可以用云服务商的堡垒机服务,一个月几千块吧。
demolibs
2019-11-22 10:43:49 +08:00
@fanyingmao 主要是看过很多博客提过,安全意识不到位的问题还是挺多的,就是做好预防
1、开放 ssh 接口,默认登陆账号 root、密码 root 或 123456 等简单密码。
2、管理后台,账号 admin、密码 admin
3、MySQL、MongoDB、Reids 密码过于简单,甚至默认没有密码。
demolibs
2019-11-22 10:46:26 +08:00
@lc7029

1,服务器只允许内网登陆,且登陆必须通过堡垒机。
2,服务按类型部署在内网,ACL 控制内网间调用。比如 10.0.0.0/24 给核心网,10.0.1.0/24 给安全设备,10.0.2.0/24 给数据库,数据库不能访问核心网等。
3,内网部署安全设备,比如 DDOS 防火墙,流量清洗,堡垒机,数据库审计,IPS 等设备。
4,CDN 配置 WAF 功能。


膜拜运维大神🙏
struggle001
2019-11-22 10:46:40 +08:00
@demolibs 麒麟堡垒机 了解下。
struggle001
2019-11-22 10:48:12 +08:00
@lc7029 说实话 运维稍微上点心 就不会被黑,程序有问题除外。
lc7029
2019-11-22 11:28:16 +08:00
@demolibs 额。。。我是网管啊。。。
656002674
2019-11-22 11:57:25 +08:00
看到#10 突然觉得正确的回复应该是这样的:

运维请联系我,比楼上老哥便宜一块钱。

溜了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/621655

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX