域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

書(shū)接上文，這次主要分享一下linux的安全方面的配置。

一、端口

使用iptables全部禁止，之后只允許開(kāi)放必須的端口，比如21,22,80等，但除了80之外，ftp和ssh的端口我們最好修改一下，這樣也給黑客掃描帶來(lái)一些難度，還得說(shuō)明一下，你的服務(wù)器被黑說(shuō)明對(duì)方的水平比你高，但大多數(shù)不是真正的高，而是用一些高手寫(xiě)的工具來(lái)掃描你的服務(wù)器。所謂蒼蠅不叮無(wú)縫的雞蛋。

二、用戶

刪除一切默認(rèn)用戶，禁止root用戶遠(yuǎn)程登錄，鎖定passwd、group文件，不許任何人訪問(wèn)。只開(kāi)放必須的用戶，比如來(lái)自internet的用戶，盡量的控制權(quán)限。自己的管理密碼要定期更新，推薦使用自動(dòng)產(chǎn)生密碼的工具，復(fù)雜度足夠，特別是當(dāng)先黑鏈?zhǔn)⑿?，攻破一臺(tái)服務(wù)器能帶來(lái)相當(dāng)利益的情況下，更應(yīng)該注意。

三、應(yīng)用程序

在應(yīng)用程序上，不要使用現(xiàn)成的模板，特別是免費(fèi)的，你能得到，大家都能得到，任何的程序理論上都是有漏洞的，如果一個(gè)程序使用者太多，并且找到漏洞后會(huì)獲得很大利益，那就要注意。所謂無(wú)利不起早。每天關(guān)注訪問(wèn)日志，就能看到，大量的掃描程序訪問(wèn)，一般都是試圖訪問(wèn)特定的程序或者文件，如果發(fā)現(xiàn)你在使用，并且還沒(méi)有修補(bǔ)漏洞，那你就要小心了。

四、設(shè)計(jì)靈活的限制訪問(wèn)策略

雖然apache已經(jīng)提供了強(qiáng)大的訪問(wèn)控制，但還不夠靈活，最好自己能細(xì)粒度的控制訪問(wèn)策略，做到盡量讓我們的客戶能正常訪問(wèn)，拒絕大部分的惡意訪問(wèn)。

惡意訪問(wèn)，分為很多，比如盜鏈，會(huì)使用我們寶貴的帶寬和服務(wù)器資源，為他人提供相關(guān)服務(wù)，但如果利用的好的話，反而會(huì)給我們帶來(lái)流量，所謂魔高一尺，道高一丈。因?yàn)楣ぷ鞯年P(guān)系，這個(gè)內(nèi)容可以展開(kāi)來(lái)說(shuō)，找機(jī)會(huì)做個(gè)這方面的專題，展示幾個(gè)花腐朽為神奇的例子。

還比如惡心抓取，盜用我們辛辛苦苦組織的內(nèi)容。我們可以從ip上，訪問(wèn)頻率上，隨即的url參數(shù)上進(jìn)行屏蔽，但主要是有可靠的發(fā)現(xiàn)機(jī)制。

五、服務(wù)器監(jiān)控上

服務(wù)器監(jiān)控是必不可少的，但不推薦使用復(fù)雜的監(jiān)控軟件，像nagios，主要是出于性能的考慮，本來(lái)服務(wù)器就不堪重負(fù)，再給他加上沉重的負(fù)擔(dān)。

推薦可以自己寫(xiě)一些監(jiān)控的shell腳本，都很簡(jiǎn)單的，檢測(cè)幾項(xiàng)關(guān)鍵的指標(biāo)，比如cpu負(fù)載，內(nèi)存使用率，硬盤讀寫(xiě)高峰，網(wǎng)卡流量等?？梢允褂胏ron定期執(zhí)行。

應(yīng)用程序的運(yùn)行情況，日志是必不可少的，運(yùn)行期的日志一個(gè)檢測(cè)程序運(yùn)行狀態(tài)，是否良好，二是在出錯(cuò)的時(shí)候，可以早到出錯(cuò)點(diǎn)，加以改正。

訪問(wèn)日志，是我們了解用戶行為的唯一手段。是提升網(wǎng)站內(nèi)容質(zhì)量的關(guān)鍵指標(biāo)依靠。網(wǎng)站的改版，功能的添加都要在分析日志基礎(chǔ)上得出結(jié)論。

本次分享完畢，請(qǐng)期待我下一次分享。

本系列文章由阿土伯爆笑笑話()站長(zhǎng)撰寫(xiě)，首發(fā)A5，轉(zhuǎn)載請(qǐng)留鏈接

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！