«

»

3 月
13

SEO__1071

分類:

文章由





無標題文件

網站優化


眾所周知,網絡安全是一個非常重要的課題,而服務器是網絡安全中最關鍵的環節。Linux被認為是一個比較安全的Internet服務器,作為一種開放源代碼操作系統,一旦Linux系統中發現有安全漏洞,Internet上來自世界各地的志願者會踴躍修補它。然而,系統管理員往往不能及時地得到信息並進行更正,這就給黑客以可乘之機。相對於這些系統本身的安全漏洞,更多的安全問題是由不當的配置造成的,可以通過適當的配置來防止。下面就簡單列出以下幾點,以供大家參考:


1、用防火牆關閉不須要的任何端口,別人PING不到服務器,威脅自然減少了一大半


防止別人ping的方法:


1)命令提示符下打


echo 1 > /proc/sys/net/ipv4/icmp_ignore_all


2)用防火牆禁止(或丟棄)icmp 包


iptables -A INPUT -p icmp -j DROP


3)對所有用ICMP通訊的包不予響應


比如PING TRACERT


2、更改SSH端口,最好改為10000以上,別人掃瞄到端口的機率也會下降


vi /etc/ssh/sshd_config


將PORT改為1000以上端口


同時,創建一個普通登錄用戶,並取消直接root登錄


useradd ‘username’


passwd ‘username’


vi /etc/ssh/sshd_config


在最後添加如下一句:


PermitRootLogin no #取消root直接遠程登錄


3、刪除系統臃腫多餘的賬號: userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允許匿名FTP,就刪掉這個用戶帳號 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers


4、更改下列文件權限,使任何人沒有更改賬戶權限: chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow


5、chmod 600 /etc/xinetd.conf


6、關閉FTP匿名用戶登陸





目前網絡中有一種攻擊讓網絡管理員最為頭疼,那就是拒絕服務攻擊,簡稱DOS和DDOS。它是一種濫用資源性的攻擊,目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對服務器進行訪問造成服務器的服務失效甚至死機。


今天就筆者公司管理服務器的經驗為各位讀者介紹幾個簡單有效的防範拒絕服務攻擊的方法,雖然不能徹底防護,但在與DDOS的戰鬥中可以最大限度降低損失。


1、如何發現攻擊


在服務器上可以通過CPU使用率和內存利用率簡單有效的查看服務器當前負載情況,如果發現服務器突然超負載運作,性能突然降低,這就有可能是受攻擊的徵兆。不過也可能是正常訪問網站人數增加的原因。如何區分這兩種情況呢?按照下面兩個原則即可確定受到了攻擊。


(1)網站的數據流量突然超出平常的十幾倍甚至上百倍,而且同時到達網站的數據包分別來自大量不同的IP。


(2)大量到達的數據包(包括TCP包和UDP包)並不是網站服務連接的一部分,往往指向你機器任意的端口。比如你的網站是Web服務器,而數據包卻發向你的FTP端口或其它任意的端口。


2、BAN IP地址法


確定自己受到攻擊後就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對於DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP後就可以有效的防範DOS的攻擊。不過對於DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。


不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火牆,然後根據防火牆的日誌分析來訪者的IP,發現訪問量大的異常IP段就可以添加相應的規則到防火牆中實施過濾了。


當然直接在服務器上過濾會耗費服務器的一定系統資源,所以目前比較有效的方法是在服務器上通過防火牆日誌定位非法IP段,然後將過濾條目添加到路由器上。例如我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,而服務器的地址為61.153.5.1。那麼可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。


cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。


小提示:在訪問控制列表中表示子網掩碼需要使用反向掩碼,也就是說0.0.255.255表示子網掩碼為255.255.0.0 。


3、增加SYN緩存法


上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由於使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防禦小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。





網站推廣


標籤: , ,