安徽互联网联盟主办的千人()已经到第36期了,本期嘉宾 毛伟 网名:龙飞 太湖明珠网 技术总监,非常战网 创始人,首席网管,二泉网 联合创始人之一,太湖明珠网(是一家为无锡及周边地区提供全面互联网(Internet)服务的综合性区域门户网站。是无锡对外宣传的窗口,也是了解无锡的最佳平台。
作为门户网站,太湖明珠网立足无锡,整合无锡本地、电视、的新闻资源,最权威最迅速地全方位传递无锡瞬息万变的城市资讯。同时提供网络信息、商务推广、影视娱乐、网络通讯、网站建设、网络直播等跨行业、跨的多项综合性业务。
前四群已满(共2000人)已满,新到可加500人新开的五群:39463377免费参加但是请尊重学习我们随时会T从来不发言的 让更多想学习的进来。
各位大家下午好,先介绍一下,我是来自无锡太湖明珠网的毛伟,我们今天下午的话题是PHP+MYSQL类社区的服务器通用安全防护措施,虽然这个话题,有一个前提,就是面对对象是那些使用自己服务器的,如果现在没有使用服务器的也希望可以先了解了解,相关知识,相信你们很快就会有服务器的到时候就派的上用处了,安全 和 是相对的,这世界上没有绝对的安全 和绝对的。如果有不太明白的同学可以参考下爱因斯坦的 狭义。
首先声明下,下面说所的这些防护措施,不是说照着做了就能服务器不被黑,因为我们所使用的大部分都是开源的社区程序,开源就等于不可避免的存在漏洞。那么这些防护措施的出发点,就是在程序产生漏洞的时候,尽可能的避免遭受所影响的范围。比如服务器沦陷,整个服务器给黑客控制。我们今天所讲的防护措施分成 服务器安全,php安全设置,mysql安全设置几个方面。首先讲一下服务器方面的安全措施,一般现在跑PHP+MYSQL类社区的服务器无非就是小流量的windows比较多,大流量的linux比较多。
不管是windows还是linux或者说其他的系统,任安全防护第一步,关掉不用的端口,第二步重要端口的访问来源ip地址,比如我们跑web的,可以全开80端口,ftp、远程管理端口的来源ip地址,其它端口全部关闭,像ssh的22,远程终端的3389,mysql的3306这类重要端口我们可以通过软件防火墙或者硬件防火墙,来源的ip地址,有些tx可能会说我是adsl动态的,我没有办法固定ip地址,好这里给你2个方案。
1.放开的范围,每个地区的adsl拨号上网ip地址总有一定的范围,比如a.b.x.x,那么我们就把ip到a.b.*.*。
2.中转方法,有些可能不止1台服务器,可以通过另外一台中转的有固定ip地址的机器,来中转管理你的服务器。使用端口转发这种方法,了端口的访问,那么如果还要将安全级别提高一点的话,那就是修改端口号来增加安全性,这里也提个醒,实际上除非你有防止端口扫描的这种防火墙 ,不然改端口作用并不大,hack扫描下端口很方便,说到防止端口扫描,这个原来实际上就是用户在一定时间内访问服务器端口数量来实现的,比如在5秒内访问超过3个端口,就判断为端口扫描行为,然后就把用户的ip封掉。这里推荐个windows下面的软件防火墙,这类防火墙windows主机我推荐VisNeticFirewall (也叫8sign),VisNeticFirewall 是款强大的windows下软件防火墙可以进出规则包括http应许访问的文件类型,比如mdb下载等等也可以做端口扫描自动阻断。
linux用自带的iptables,功能很强大,只有想不到,没有做不到,网络这一层安全做得好,你的系统就加固了很多。就算hack有你服务器的管理员,他也无从入手。除了80 webshell ,他什么也做不了。
windows主机用iis的还可以给每一个iis站点单独设定一个运行帐号而且严格设置站点目录只有管理员和这个站点运行账户有权限这样即使某个站点有漏洞,hack webshell进来了,危机到其他站点和系统,因为他除了能控制这个站点的目录下面的内容外,他根本无法访问其他目录。当然这个方法还有个前提,就是得把系统的目录权限梳理一边,检查下有everyone权限的目录,一般c盘windows目录下面这类的目录蛮多,要记住everyone的目录 就算做了的iis账户的方法 hack还是能访问的,关于这类网上文章也蛮多,搜一下仔细看看。linux的可就没这么方便咯,因为apache nginx是以统一的用户身份来运行的没法每个站点设置一个运行用户。比较要命的是linux下面系统的目录一般其它用户都是可读的。所以比较安全的做法是把apache或者nginx php的用户 和web目录的所有者用户开来。所以比较安全的做法是把apache或者nginx php的用户 和web目录的所有者用户开来。
这里把nginx和目录所有权用户都用方便一些静态文件的访问,省得权限卡得很死,非得完全严格的去设置目录权限。当然要求严格的完全可以把nginx和web目录的用户也分开。apache和php结合有个非常方面的好处,就是可以给每个vhost设定一些php的设置。所以我们用apache的tx可以用这一特性 给每个vhost 设定下open_basedir 这个php设置open_basedir就是这个vhost的php运行的时候能够访问的目录,这样也就能在apache下面实现iis那样帐号运行的类似效果,把php的访问范围框住,防止1个有漏洞危及系统和其他站点。
这个设置 如果有多个目录,比如php上传临时目录,session临时目录,可以用 : 冒号分割(windows下面用 ; 号)
一些永远也不会有php执行需要的目录,特别是用户上传的文件啊,头像啊这些目录 可以用这个设置下
设的时候注意别搞错了,这个开了 ,要是有php可是直接暴源代码的,iis用户不要急,其实iis里面也是有这个功能的。在iis站点管理里面找到不需要执行的目录右键 属性。
这个功能同样用stcgi方式跑的php 没戏,这个目前也就想起来这么多,就先到这里把
这里顺便提一下,如果有多台服务器的,提倡把前台和数据库分开。就是运行程序1台服务器,数据库1台服务器。这样其实也有点和安全有关系。一些程序可能 注入漏洞这漏洞爆的比较多
万一你mysql连接的用户是个root权限的话 那他用mysql的load file这种函数 也只能去读取数据库那台服务器的系统文件属蛇的今年多大
网友评论 ()条 查看