道路千万条，安全第一条，开发不规范，用户两行泪

事件背景： 昨晚我们线上服务被恶意调用了，出现大量随机请求，猜测是想暴力破击我们管理后台，窃取用户数据。

部分服务器日志截图：

https://static.demolibs.com/v2ex/%E8%A2%AB%E8%B0%83%E6%88%8F%E4%BA%86.jpg （ PS：充值 V2EX 会员后，图片还是没法上传，所以用的七牛云，V 友见谅）

所以想跟 V 友们一起讨论下网站安全的措施，防范于未然。

目前我们的安全措施：

一、运维方面：

1、所有服务器都禁用 root 登陆功能，防止被别人通过 root 暴力破解。

2、程序部署、数据库都用不同的账号管理，不同账号职责不同。

3、数据库一定要设置密码，特别说明：MongoDB、Redis 是默认没有密码的。

二、程序方面：

1、程序部署最好用 Git 统一管理。区分 master、test、dev 等环境，紧急修复问题用 fix_分支。

2、程序日志一定要打印好！访问日志、404 等错误日志都要打印，监控异常。

3、日志里边要添加 IP 地址，为了以后对恶意请求做限制（当然，如果遇到 DDoS 攻击的话，光这点肯定不够）

一起讨论下安全吧

V 友们还有其他的安全测录？一起来分享一下，互相抱团更安全。

关于我们

我们初创的网站：呆萌库 | 一个自由定制的主页 网址： https://demolibs.com/ 留言板： https://support.qq.com/products/96596