1. 程式人生 > >老男孩linux每日一題的學習(linux服務器如何防止木馬)

老男孩linux每日一題的學習(linux服務器如何防止木馬)

linux 運維 安全

linux的木馬通過web的上傳目錄把木馬傳到linux服務器。

  1. 對用戶可以上傳的文件類型和上傳位置進行嚴格限制

  2. 用戶上傳的文件在服務器中的權限設成可讀

  3. 用戶的上傳目錄在所屬主和所屬組有較小合適 的權限

  4. 對重要的配置文件和web文件作mda5校驗以及備份

  5. 對服務器開放的端口和運行的程序進行監控,經常檢查監控日誌,再有異常進程或端口異常時能及時發現

  6. 安裝殺毒軟件,定期檢測木馬

從用戶訪問角度

1. 開發程序代碼對上傳文件類型做限制,例如不能上傳.php 程序(JS 及後端代碼控制)。

2. 對上傳的內容(包括文本和文件)檢測,檢測方式可通過程序、Web 服務層(中間件層)、數

據庫等層面控制。

3. 控制上傳目錄的權限以及非站點目錄的權限(Linux 文件目錄權限+Web 服務層控制)。

4. 傳上木馬文件後的訪問和執行控制(Web 服務層+文件系統存儲層)。

5. 對重要配置文件、命令和 WEB 配置等文件做 md5 指紋及備份。

6. 安裝殺毒軟件 clamav 等,定期監測查殺木馬。

7. 配置服務器防火墻及入侵檢測服務。

8. 監控服務器文件變更、進程變化、端口變化、重要安全日誌並及時報警。

從內部管理人員角度:防止被提權

1. vpn 管理服務器或 Web 化管理服務器。

2. ssh 監聽內網。

3. 采用跳板機、操作審計。

4. sudo 集權管理、鎖定關鍵文件。

5. 站點目錄、上傳目錄權限屬組控制。

6. 做系統及站點文件備份指紋監控報警。

7. 動態口令認證。

本文學習信息來自老男孩linux每日一題

本文出自 “大李子” 博客,謝絕轉載!

老男孩linux每日一題的學習(linux服務器如何防止木馬)