隨便聊聊鄙公司服務器的安全設置!
笔者长期以来一直做得工作基本上就是开发公司的PHP程序,另外维护几台CentOS服务器,在长时间的工作中总结了一套对付攻击的小手段,不敢藏私,分享给大家,希望大家喜欢!
首先说一下服务器那边的设定状况好了,服务器在公司内部,一条光纤直接接入,有7个固定IP,每一台服务器均有自己的固定IP,另外每一台服務器均為雙網卡,除了有一個外網固定IP外還同屬於一個內網,这7个固定IP是通过一台带有路由功能的硬件防火墙进行分发的.硬件防火墙只对外开放了80端口,其余的全部都关掉了.而服务器则基本上都是CentOs,只有一台是windows.CentOs全部开了Linux系统自带的防火墙,远程管理的时候通过某种特殊手段连接到这个服务器所在的局域网的某台windows操作系统的服务器上,然后再通过这台windows上安装的SSH即可操控每一台服务器了,虽然这么设定非常麻烦,但却很安全.(这里补充说一下,每台服务器的防火墙均设定了允许某个内網IP才可SSH單向连线的规则,这设定就比较繁琐了,小孩子没有娘说起来话很长,既然很长我就不说了.)
既然如此大家或许会问,只开了一个80还有什么好攻击的呢?其实不然,首先有某公司常常会用webbench压力测试工具来试图瘫痪nginx,没办法因为这套程序之前就是他们开发的,他们知道这套程序运行的时候极其消耗CPU资源.其次有众多来自内地网友们猜测这套程序的潜在漏洞,例如猜测管理员后台入口,猜测是否有网站备份的压缩文件放在服务器上等等,他们的这些访问方式全部都是针对80端口来的,如果不采取某些措施的话Nginx会常常瘫痪掉,导致网站出现错误500或错误502,而那些猜测的害处我就更不用多说了,对于以上诸多不友好的来访者笔者只好做一些扼杀手段了.
其实做法说起来也并不复杂,首先我会用php取得来访者的访问意图,如果对方的意图有鬼或不轨满足了我的封杀条件,那么就干掉他吧!首先用PHP自动建立.sh这样一个文件,这个文件的的内容就是用来改写linux的防火墙规则(当然了我也可以改写硬件防火墙的规则,不过太麻烦了,还是偷个懒吧!),修改这个.sh文件的属性和所有者让其可以被执行,然后用linux的crontab来取得并执行这个.sh把封杀规则写入防火墙,同时给笔者发一封Email告知我某个倒霉蛋已经被封杀了即可.
下边是我的做法:
<?PHP # 自動封鎖IP QQ群:223494678 # 用法: # 1.首先把下方的PHP代碼放入被全局require的配置檔內. # 2.用SSH執行:cat /etc/crontab # 3.加入下邊兩行: # #auto lock webbench # */1 * * * * root /home/wwwroot/bossAdm_Web/webbench.sh; # 4.重啟crontab的服務:service crontab restart //封鎖任何來源的WebBench IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') { $_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']); IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False And (isSet($_SERVER['REMOTE_ADDR']) And Trim($_SERVER['REMOTE_ADDR'])!='')) { DoLock($_SERVER['REMOTE_ADDR']); Die(); } } //封鎖敏感Url,針對猜測如下url的ip直接封殺 QQ群:223494678 //這段代碼最好是加入到404.php內,這樣效果更大(需要重新配置一下httpd.conf,讓404錯誤頁指向到該404.php) QQ群:223494678 IF(isSet($_SERVER['REQUEST_URI']) And Trim($_SERVER['REQUEST_URI'])!='') { IF(StriStr($_SERVER['REQUEST_URI'],'/admin')!==False Or StriStr($_SERVER['REQUEST_URI'],'/sign')!==False Or StriStr($_SERVER['REQUEST_URI'],'/reg')!==False Or StriStr($_SERVER['REQUEST_URI'],'/tiki-')!==False Or StriStr($_SERVER['REQUEST_URI'],'/join')!==False Or StriStr($_SERVER['REQUEST_URI'],'/config')!==False Or StriStr($_SERVER['REQUEST_URI'],'/backup')!==False Or StriStr($_SERVER['REQUEST_URI'],'/www')!==False Or StriStr($_SERVER['REQUEST_URI'],'/manage')!==False Or StriStr($_SERVER['REQUEST_URI'],'/password')!==False Or StriStr($_SERVER['REQUEST_URI'],'/install')!==False Or StriStr($_SERVER['REQUEST_URI'],'/phpmyadmin')!==False Or StriStr($_SERVER['REQUEST_URI'],'/webadmin')!==False Or StriStr($_SERVER['REQUEST_URI'],'/inc')!==False Or StriStr($_SERVER['REQUEST_URI'],'/user')!==False Or StriStr($_SERVER['REQUEST_URI'],'/upload')!==False Or StriStr($_SERVER['REQUEST_URI'],'/setup')!==False Or StriStr($_SERVER['REQUEST_URI'],'/sys')!==False Or StriStr($_SERVER['REQUEST_URI'],'/cert')!==False ){ DoLock($_SERVER['REMOTE_ADDR']); Die(); } } //建立sh檔,用途是封鎖ip,該sh檔會被排程以root身份執行. QQ群:223494678 Function DoLock($x){ $p='/home/wwwroot/bossAdm_Web/webbench.sh'; File_Put_Contents($p,"#! /bin/bash\n iptables -I INPUT -s {$x} -j DROP;\n echo \"{$x} - `date`\" | mail -s \"WebBench\" see7di@gmail.com;\n cat /dev/null > {$p}",LOCK_EX); Chmod($p,0755); chown($p,'www'); unSet($p,$x); }
發問之後有網友問我"远程管理的时候通过某种特殊手段连接到这个服务器所在的局域网的某台windows操作系统的服务器上"這句話中的特殊手段究竟是什麽手段,好吧我就簡單的說一下好了,說多了我怕砸了自己的碗.首先我會登錄進入公司網站的後臺管理,然後發送一個開放3389的請求,發送之後退出後臺即可,linux服務器接收到請求(只是一個ini文件而已)之後會把這個文件通過samb通過內部局域網丟到windows服務器上,那台windows服務器上有我開發的一個監控端,用來隨時掃描是否有請求,如果有的話這個監控端就會修改硬件防火牆的設定,把3389的映射端口(65525內的某個端口映射到這台windows上的3389)開放一下,此時我就可以用3389方式連線到這台服務器了(從請求發送到開放3389大約只需要1分鐘的時間),只不過要注意的是:要改一下gpedit的設定,讓其在3389連線完畢之後自動建立一個關閉3389的請求,這樣剩下的事就交給那個監控程序來幫我關閉3389的映射端口就行了.
以上,如需交流PHP的朋友可以加我的QQ群:223494678 相信只有交流才能成长!至少我是这么认为的.:)