随笔分类 - 系统安全
系统安全
摘要:说明 写这个目录是为了方便阅读。也是为了记录统一的问题。 这个系列,并不一定是全的,也不一定是对的,所以请大家多做过滤。 这里面场景比较多的是本人在实践中遇到的问题,然后自己思考抽象的。 目录 1. "web安全——简介" 2. "web安全——防火墙" 3. "web安全——系统(Linux)"
阅读全文
摘要:简介 数据安全是现在互联网安全非常重要一个环节。而且一旦数据出现问题是不可逆的,甚至是灾难性的。 有一些防护措施应该在前面几个博文说过了,就不再赘述。比如通过防火墙控制,通过系统的用户控制,通过web应用的控制等。 想说的是,任何一个节点都不是单独存在的。 场景 1. 确保应用本身安全。 2. 控制
阅读全文
摘要:简介 由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对web应用的攻击。据最新调查,信息安全有75%都发生在web应用而非网络层面。 场景 1. 控制访问的权限。只让可以访问的访问到最小的资源和权限。 2. 控制输入内容。所有输入都可能是不安全的,所以要过滤。 3. 保证
阅读全文
摘要:场景 1. 过滤非正常用户使用的http请求。 2. 限制正常用户使用的范围(下载速度、访问频率等)。 3. 通过架构规划来提升安全。 4. 能自动解决http请求问题。 解决方案 代理自身的安全 1. 千万不要使用root启动!!! 2. 关闭服务器的信息。 3. 关闭掉不使用的模块。 过滤htt
阅读全文
摘要:简介 最小(少)原则,是安全的重要原则。最小的权限,最小的用户,最少的服务,最少的进程,是最安全的。 系统安全包括:文件系统保护、用户管理安全、进程的保护以及日志的管理。 场景 1. 确保服务最少,每个都是有用,而且权限最小化。 2. 确保用户最少,每个都是有用,而且权限最小化。 3. 确保文件权限
阅读全文
摘要:简介 用于实现服务器(Linux)的访问控制的功能的。 分硬件和软件防火墙。 主要是控制访问的流入和服务器的流出。 通过黑名单和白名单的思想来实现更细粒度的控制,这个一般结合其他的应用来定义策略实现。 概念 黑白名单 可以说防御的思想,主要就是黑白名单的思想!!!!是黑白名单的组合。 黑名单指的是对
阅读全文
摘要:简介 不对外提供服务是最安全的。 安全是基于信任。如果信任失败了,则没有安全。比如你给一个ip加白名单,结果这个ip对你发动了安全攻击。 在非常明确需要提供服务的时候才对外提供服务,即白名单。其他的全部禁止。 对外提供服务要在控制和管理下。 思路 防御的过程是一个链条,任何一个节点上都要防御,否则都
阅读全文
摘要:扫描分类 不同场景需要使用不同方式的扫描类型。不能盲目的、暴力的去折腾。 自动扫描 刚开始扫描的时候适合用这种方式。有助于,理解整个网站的结构。 需要注意的是:去伪静态和业务冗余 伪静态 url结构相似,内容相似。我们判断是同一个接口。一旦发现扫描了半天,页面超过5000以上,基本可以断言就是有很多
阅读全文
