互联网安全问题是一个老生常谈,也是永不过时的话题。包括互联网很多大佬级的网站都出过安全事故,安全攻防、渗透、审计等涉及的专业性很强、密码学算法等很深。那些都有专业的机构在研究和相应的解决方案,但做为运维人的我们,也要时刻关注linux服务器网站防护问题。
linux服务器网站防护
linux服务器网站防护,除非自己有专门的安全攻防团队,不然大部分企业都是与安全厂商合作,使用服务器安全防护产品保护服务器的安全,这里跟大家介绍一下安全狗的服务器防护系统软件。
比较全能的产品可以试试服务器安全狗这款免费的服务器防护系统软件,可以比较全面的提升服务器的防护能力,抵抗一定程度的入侵攻击,有需要的朋友可以自行下载使用。
付费的产品可以了解下安全狗的云磐产品,用户可以根据自己的需求进行选择相对应的服务和扩充,以下是云磐产品的介绍。
免费服务器安全狗:http://free.safedog.cn/server_safedog.html
云磐:一站式云安全SaaS平台:http://www.safedog.cn/index/publicCloudIndex.html
安全狗以 SECaaS安全即为用户提供一站 式的云安全产品与服务,包括(云)主机安全、WEB 应用安全、网站防篡改、抗 DDoS 云服务、安全大数据态势感知等,同时平台配备 7*24
小时的安全专家服务,真 正为用户构建安全即服务模式的纵深防御产品和服务,为业务发展保驾护航。
日志分析及态势感知云服务
云磐融合大数据分析技术、可视化技术、威胁情报技术于一体,为企业构建的新一代云安全管理平台。
安全大数据分析,全方位融合安全数据,进行多维度智能分析
可视化大屏展示,提供整体态势感知、攻防对抗态势、流量访问态势、威胁事件态势四屏展示
态势预测,可发现威胁态势的走向,预见风险,防范于未然
威胁情报驱动,依托于安全狗观鸿威胁情报服务平台
Web应用安全云服务
云磐通过网络层过滤和主机层应用自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。
集中管理网站和WAF防护节点
通过平台设置各个防护节点安全策略,并下发至防护节点
以可视化的形式统计网站的安全状态,展现网站的风险和威胁
集中管理网站和WAF防护节点
网页防篡改云服务
云磐采用第二代密码水印技术+第三代系统驱动级文件保护技术双结合,对网站安全进行双重防护,具有响应速度快、判断准确、资源暂用少及部署灵活等特点。
基于内核驱动防护技术,支持单独文件、文件夹及多级文件夹目录内容篡改保护
水印技术阻止被篡改网页流出,并自动恢复被篡改文件
支持断线状态下阻止篡改内容流出,返回篡改提示页面
完全防护技术,支持大规模连续篡改攻击防护
(云)主机安全服务
云磐采用先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的理念思路来构建的新一代 ( 云 ) 主机入侵监测及安全管理云服务系统。
解决公有云环境中遇到的安全及管理问题
解决新安全形势下数据中心安全问题
结合威胁情报进行主机终端异常行为捕获及分析
满足 ( 云 ) 等保 2.0 对于主机安全的合规性要求
抗DDoS云服务
云磐提供了高效流量清洗中心,针对从网络层到应用层的攻击流量进行精确清洗。目前可清洗的流量峰值超过500Gbps。采用即用即开的机制,通过敏锐流量监测机制来弹性判断用户是否需要开启抗D服务。
快速感知,弹性控制,可快速适应不同流量的攻击
全面抵抗CC攻击以及各种纯流量攻击
专家全程参与防御,协助做出最正确的响应措施
能力强劲,可清洗的流量峰值超过500Gbps
linux服务器网站防护
命令ssh用以以ssh协议登录其他主机:
ssh root@主机ip(或主机域名):该条命令指使用root用户来登录远程主机
1,安装systemctl: yum install iptables-services 2,设置开机启动: systemctl enable iptables.service 然后就可以执行以下指令了:systemctl stop iptablessystemctl start iptablessystemctl restart iptablessystemctl reload iptables 关机就会导致之前配置的没了,目前还不懂什么情况
1.Linux防火墙:iptables禁IP与解封IP常用命令
在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。
要封停一个IP,使用下面这条命令:iptables -I INPUT -s IP地址 -j DROPiptables -I INPUT -s IP地址 -j REJECT 要解封一个IP,使用下面这条命令:iptables -D INPUT -s IP地址 -j DROPiptables -D INPUT -s IP地址 -j REJECT全清掉了iptables -F
使用下面的命令来查看当前的IP规则表:
iptables --list
iptables -L
如果要想清空封掉的IP地址,可以输入:
iptables --flush
iptables -F
查看配置情况
要添加IP段到封停列表中,使用下面的命令:
iptables -I INPUT -s 117.0.0.0/8 -j DROP
117.0.0.0/8 ip段等于 117.0.0.0 - 117.255.255.255
117.0.0.0/24 ip段等于 117.0.0.0 - 117.0.0.255
linux服务器网站防护
现在中小型企业的业务基本都转到云上了,用的云服务。互联网安全问题是一个老生常谈,也是永不过时的话题。包括互联网很多大佬级的网站都出过安全事故,安全攻防、渗透、审计等涉及的专业性很强、密码学算法等很深。那些都有专业的机构在研究和相应的解决方案,但做为运维人的我们,不要忽视一个最基本的原则,最基本细心的安全做得越到位,黑客攻破所需付出的成本和花费的代价越高。而且我们付出的成本也比较低,能防护80~90%以上的攻击。好了,下面看下刚买的一台云服务器的安全日志:
如果密码设置得比较简单,估计服务器很快就成为黑客的肉鸡了。本节我们仅讲下系统层面的,还有web安全和数据库安全以后再介绍,在企业中还有用到跳板机和VPN等在这由于篇幅有限也略过。
首先root用户要禁掉远程ssh登录。禁root远程登录前先建立一个普通用户,普通用户建好后可以分配sudoers 权限,以方便管理系统服务等。
两条命令搞定:useradd 用户名;passwd 用户名,输入两次密码。完了id 用户名 检查下,再看下是否建立了用户的home目录,还有不要忘记用建立好的用户ssh登录试下。
将普通用户加入sudo权限有两种方式:第一种是直接将普通用户加入到wheel组就行,加入前我们先测试下:执行ls /root后提示权限不允许,再执行sudo ls /root 输入密码后提示不在sudoers file会向管理员报告。
在root或其他sodu用户身份下运行如下命令:
usermod -aG wheel username ,然后用id username看下已经加入wheel组了。
用这种方式对大多数的sudo命令是有权限的,有些还是不行。
第二种方式:vim /etc/sudoers 找到如下段落:
在root下面加上一行:username ALL=(ALL) NOPASSWD:ALL
意思表示赋予所有sudo权限并且不需当前用户验证密码。加入后输入 :wq! 强制保存退出,此文件是只读的。这样,下一步就可以关闭root远程登录了。
关闭root远程ssh登录操作
编辑 sshd配置文件,vim /etc/ssh/sshd_config 找到下面字段,没有就加上。
把前头处PermitRootLogin 改为no 保存退出。
记得重启sshd 服务,systemctl restart sshd。重启后再systemctl status sshd确认。
修改sshd服务默认的22监听端口,做一步前特别要注意确保其他端口能正常访问再关闭22端口,不要把自己锁在门外里,以免尴尬,影响工作。
先看下系统防火墙,默认是开启的。如果需开系统防火墙,请把要修改的端口号后加入允许的安全策略里,另外还要看下云服务商的安全组,也要把相应端口加进去。
执行 firewall-cmd –list-all 查看已开放的端口如下:
防火墙加入端口执行:firewall-cmd –zone=public –add-port=(自定义端口号)/tcp 返回success
重载防火墙使配置生效,firewall-cmd –reload 返回success
再运行 firewall-cmd –list-all 是不是你想加入的端口在里面呢?
另外,如果系统开启了selinux则也要把端口加入selinux 的 ssh_port_t中。如不打算开selinux,下面的步骤请略过。
先安装selinux的管理工具yum install –y policycoreutils-python
查询当前ssh 服务端口:semanage port –l |grep ssh
执行semanage port -a -t ssh_port_t -p tcp 自定义端口号。没什么问题再执行上面命令检查。
接着编辑 sshd配置文件 vim /etc/ssh/sshd_config 在port 22 下面加一行:
重启sshd服务 systemctl restart sshd 查看sshd服务是否正常并检查系统监听端口
用普通用户和修改后的端口登录ssh测试
这步很简单,在此就不赘述了。测试好后还是编辑 sshd配置文件把22号端口去掉并重启sshd服务。如果万一哪步没弄好或端口被阻止了,那要记得在本地shell环境操作了,现在云服务器一般都有VNC等远程连接服务。
关于linux服务器网站防护就介绍到这里,如果您对于服务器防护有更高的需求或者是遇到无法解决的服务器安全问题,可以向安全狗寻求技术支持,我们会安排专业的技术团队为您提供相应的技术解决方案,保证您的服务器安全稳定运行。