1、更新

有很多漏洞，并不是一直都表現(xiàn)出來讓你發(fā)現(xiàn)，而是有可能突然爆發(fā)，由公共漏洞演變成惡意漏洞的示例已經(jīng)發(fā)生過很多次，所以，在軟件供應(yīng)商發(fā)布新版補丁時，要盡快(幾小時內(nèi))修補，放在意外發(fā)生。你也可以設(shè)置自動更新，由服務(wù)器不斷檢測是否有新版本，如果有的話就自動下載并安裝。但是，有可能出現(xiàn)補丁版本和現(xiàn)有軟件不兼容導(dǎo)致的服務(wù)無法運行的情況，還是需要人員來實時監(jiān)控服務(wù)器狀況。

2.訪問權(quán)限

網(wǎng)站的合理化訪問權(quán)限是一個關(guān)鍵的措施。它可以防止用戶和服務(wù)執(zhí)行中出現(xiàn)意外的操作。這包括從“root”帳戶刪除到使用SSH登錄的所有功能，以禁用用于通常不被訪問的默認帳戶的shell。例如：PostgreSQL真的需要/ bin / bash嗎？可以通過sudo來實現(xiàn)特權(quán)行動嗎？cron作業(yè)是否被鎖定，以便只有特定的用戶可以訪問它們？

3、SSH高強密碼

一個非常常見的攻擊點是機器人通過SSH暴力帳戶。重要的是禁用root帳戶的遠程登錄，因為它是常見的遭到攻擊的帳戶。這些器是使用字典遍歷進行暴力的，你可以使用更改端口號來減少攻擊概率，當(dāng)然，這個端口也可能被掃出來，如果你想更嚴格的限制登陸，可以設(shè)置登陸IP或者登陸計算機名稱來進行添加白名單，除外的計算機將不能登陸服務(wù)器管理。

4、文件系統(tǒng)權(quán)限

有人在網(wǎng)絡(luò)應(yīng)用程序的某些PHP腳本中發(fā)現(xiàn)遠程代碼執(zhí)行漏洞。該腳本由www數(shù)據(jù)用戶提供。因此，黑客注入的任何代碼也將由www-data執(zhí)行。如果他們決定為后臺建立文件，那么簡單的辦法就是用惡意代碼編寫另一個PHP文件，放在網(wǎng)站的根目錄下。如果www數(shù)據(jù)沒有寫入權(quán)限，這可能永遠不會發(fā)生。通過限制每個用戶和服務(wù)可以做什么（權(quán)限原則），您可以限制來自受損帳戶（深度防御）的潛在損害。

文件系統(tǒng)權(quán)限需要細化?？紤]一些例子：

www-user是否需要在webroot中寫入文件？

您是否使用單獨的用戶從git存儲庫中提取文件？（我們強烈建議您不要從github結(jié)帳中運行您的網(wǎng)站。）

www-user是否需要在webroot中列出文件？

我們建議您定期檢查您的文件系統(tǒng)權(quán)限。

5.服務(wù)器監(jiān)控

任何異常的服務(wù)器活動都可能表示違規(guī)。例如：

錯誤日志條目中的峰值可能是攻擊者試圖將系統(tǒng)弄虛作假的結(jié)果。

網(wǎng)絡(luò)流量的突然增長不斷增加可能是持續(xù)的DDoS（分布式拒絕服務(wù)）攻擊的結(jié)果。

CPU使用率或磁盤IO的增加可能表示數(shù)據(jù)的滲透。例如Logica被黑客入侵的時候，影響到瑞典和丹麥的稅務(wù)機關(guān)。

深圳市葵芳信息服務(wù)有限公司

聯(lián)系方式李生