怎样才能对服务器进行防护,防御外部攻击?
怎么防御服务器外部攻击,这个是一个大问题,涉及多方面。互联网环境越来越恶劣,恶意攻击也越来越多,服务器安全是一个大课题了,需要多方面考虑。
服务器防御外部攻击,我们大体可以分为两类:
基于程序级的Web类攻击
常见的攻击手段很多,比如老生常谈的SQL注入攻击,后台框架、协议漏洞,程序逻辑漏洞,CSRF攻击,XSS跨站脚本攻击,暴力破解等等。
这类Web攻击呢,是最常见的,也是最广泛的一种形式,攻击类型最多,也是相对容易攻击点。
针对这类Web攻击怎么防护呢?
1、需要是开发人员要好的编码习惯,懂得常见的漏洞防范等。最好别使用外面开源的系统。
2、购买一些防火墙产品,比如一些waf,一些开源的waf系统等等,可以防护大部分这类的web攻击。
3、使用第三方的云防护服务。
基于操作系统级的攻击
基于操作系统级的攻击,必须系统ftp账户密码破解,ssh爆破。还有就是最恐怖的DDos攻击,随着技术的升级,ddos也出现了新的形式。
针对这类系统级的怎么防护呢?
1、主要还是依赖于自购防火墙,比如可以抵御一些普通的暴力破解,小型ddos等等
2、可以使用第三方的云防护,不要吧外面IP地址暴露出来,这样可以增加安全
3、如果是大型的DDOS攻击的,可以尝试使用所谓的高防服务器,高防IP,流量清洗等等。当然这样防护误杀率也比较高,效果差强人意。如果是超大的DDOS还是同时加上选择报警吧。
FTP的作用 能介绍怎样防黑服务器最好
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面 :
一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受 欢迎"的用户目录,拒绝这些用户访问。只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP" 作为用户名,自己的Internet电子邮件地址作为保密字。
为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。 为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所 有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
ftp 服务器如何防止暴力破解?
1.用户名、密码不能用常用的用户名、密码。2.每天更换用户名、密码3.用户名、密码文件不放在常用位置。4.配置具有SSL保护的FTP服务器
请问如何保证FTP服务器的安全
其安全性主要包括以下几个方面:
一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage### FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:
一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
如何来提高FTP服务器的安全性?
从两个方向去做:
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。
谢谢,这是我的回答。
0条大神的评论