淺談基于linux系統(tǒng)的網(wǎng)站防護(hù)方法

彭駿馳（國(guó)網(wǎng)湖南省電力公司長(zhǎng)沙供電分公司，湖南長(zhǎng)沙410000）

淺談基于linux系統(tǒng)的網(wǎng)站防護(hù)方法

彭駿馳（國(guó)網(wǎng)湖南省電力公司長(zhǎng)沙供電分公司，湖南長(zhǎng)沙410000）

本文從目前的web網(wǎng)站防護(hù)所面臨的安全問(wèn)題為起點(diǎn)，闡明了當(dāng)前網(wǎng)站防護(hù)的重要性，并總結(jié)了一套簡(jiǎn)易、可行的網(wǎng)站防護(hù)方法，具有相當(dāng)?shù)钠毡樾?，有借鑒和參考意義。

網(wǎng)站防護(hù)；安全加固

1 前言

隨著企業(yè)信息化建設(shè)的進(jìn)一步發(fā)展，業(yè)務(wù)應(yīng)用與管理越來(lái)越依賴于通過(guò)訪問(wèn)web網(wǎng)站的方式進(jìn)行交互。而對(duì)于部分已經(jīng)投入使用的業(yè)務(wù)系統(tǒng)web網(wǎng)站，由于開發(fā)、運(yùn)行時(shí)間較長(zhǎng)，不太可能投入大量的資金和人力去重新開發(fā)或者做大規(guī)模的代碼調(diào)整。目前基于linux操作系統(tǒng)的web應(yīng)用，其系統(tǒng)運(yùn)行的可靠性、可用性一般高于基于windows操作系統(tǒng)的web應(yīng)用，公司在運(yùn)的業(yè)務(wù)應(yīng)用系統(tǒng)也是基本部署在linux操作系統(tǒng)服務(wù)器上，因此，如何在保障既有業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下對(duì)基于linux系統(tǒng)的web網(wǎng)站進(jìn)行有效的安全防護(hù)成為本文關(guān)注的一個(gè)焦點(diǎn)。

2 主機(jī)安全加固

對(duì)linux操作系統(tǒng)進(jìn)行安全加固，主要是對(duì)系統(tǒng)中存在的補(bǔ)丁漏洞和配置漏洞，進(jìn)行加固，以保障系統(tǒng)的安全性，并根據(jù)訪問(wèn)需求，開啟主機(jī)防火墻，防止不必要的服務(wù)請(qǐng)求進(jìn)入網(wǎng)站系統(tǒng)，減少被攻擊的可能性。目前對(duì)主機(jī)操作系統(tǒng)的信息安全加固主要有以下幾個(gè)方面。

2.1 系統(tǒng)賬戶優(yōu)化

清理/etc/passwd文件，刪除不需要的系統(tǒng)默認(rèn)賬戶及測(cè)試賬戶，對(duì)于不需要登錄的用戶禁止登錄shell。修改/etc/login. defs文件，設(shè)置合適的口令策略，包括最小口令長(zhǎng)度、口令使用期限等。編輯/etc/padm.d/passwd文件，啟用口令復(fù)雜度策略，杜絕賬號(hào)弱口令，增強(qiáng)賬戶安全性。編輯/etc/profile文件，設(shè)置登錄超時(shí)時(shí)間，限制遠(yuǎn)程登錄賬戶的會(huì)話時(shí)間。

2.2 限制重要目錄和文件的權(quán)限

對(duì)于linux操作系統(tǒng)的關(guān)鍵目錄及文件進(jìn)行權(quán)限限制，對(duì)于etc、bin、dev、sbin等關(guān)鍵目錄取消普通用戶讀寫權(quán)限，對(duì)于/etc/passwd、/etc/inetd.conf、/etc/services等關(guān)鍵文件設(shè)置不可修改屬性，防止未經(jīng)許可添加和者刪除用戶或服務(wù)。對(duì)普通用戶的home目錄權(quán)限進(jìn)行分開管理，避免沒(méi)有授權(quán)的訪問(wèn)，防止旁注攻擊。

2.3 關(guān)閉非必須要的網(wǎng)絡(luò)服務(wù)

編輯/etc/rc.d目錄下相應(yīng)啟動(dòng)級(jí)別的服務(wù)啟動(dòng)文件，關(guān)閉多余服務(wù)。或者通過(guò)chkconfig命令對(duì)系統(tǒng)服務(wù)進(jìn)行配置，僅開放業(yè)務(wù)應(yīng)用系統(tǒng)需要對(duì)外開放的網(wǎng)絡(luò)服務(wù)。如無(wú)實(shí)際業(yè)務(wù)需要，關(guān)閉isdn、portmap、sendmail、nefts、vsftp等默認(rèn)開啟的不安全的系統(tǒng)服務(wù)。

2.4 增強(qiáng)openssh服務(wù)安全配置

Openssh是linux操作系統(tǒng)主流的遠(yuǎn)程登錄軟件，系統(tǒng)管理員通過(guò)ssh協(xié)議遠(yuǎn)程登錄主機(jī)，對(duì)系統(tǒng)進(jìn)行維護(hù)和配置，因此對(duì)該服務(wù)的安全管控至關(guān)重要。通過(guò)編輯配置文件/etc/ssh/ sshd_config，可以修改ssh協(xié)議的默認(rèn)使用端口為其他自定義端口，禁用超級(jí)用戶root遠(yuǎn)程登錄，并設(shè)置口令最大嘗試次數(shù)，防止暴力破解用戶口令。

2.5 設(shè)置網(wǎng)絡(luò)訪問(wèn)控制

利用linux系統(tǒng)自帶的iptables防火墻制定訪問(wèn)規(guī)則，能有效控制和緩解各類未經(jīng)授權(quán)的web訪問(wèn)，減少被攻擊的可能性。通過(guò)限制由主機(jī)發(fā)起的數(shù)據(jù)包狀態(tài)，僅允許主機(jī)主動(dòng)訪問(wèn)安全的IP地址，有效杜絕反向木馬攻擊，保障系統(tǒng)的安全性。

3 部署網(wǎng)頁(yè)防篡改

業(yè)務(wù)系統(tǒng)web網(wǎng)站非常容易成為攻擊的首要目標(biāo)，其中對(duì)網(wǎng)站的網(wǎng)頁(yè)內(nèi)容的篡改對(duì)用戶產(chǎn)生的負(fù)面影響非常嚴(yán)重，尤其是面對(duì)社會(huì)公眾的系統(tǒng)，有可能產(chǎn)生企業(yè)形象受損、信息表達(dá)失誤、甚至可能導(dǎo)致機(jī)密信息泄露等安全事件。目前常用的網(wǎng)站防篡改方法：①通過(guò)業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)頁(yè)面防篡改及自動(dòng)恢復(fù)功能，如數(shù)字水印技術(shù)等。②部署專業(yè)的防篡改軟件，如天融信、iguard等，避免惡意篡改網(wǎng)站頁(yè)面。上述方法均需要投入大量的資金和人力對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)代碼進(jìn)行調(diào)整或者采購(gòu)安全設(shè)備部署防篡改系統(tǒng)，公司部分老舊系統(tǒng)按上述方式實(shí)施信息安全防護(hù)難度較大。

為了確保業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行，保證信息安全無(wú)死角，公司通過(guò)編制shell腳本對(duì)于部署在linux操作系統(tǒng)的web網(wǎng)站實(shí)施了簡(jiǎn)易防護(hù)：通過(guò)使用chattr+i命令，對(duì)web網(wǎng)站文件夾及文件設(shè)置不可修改屬性，確保原有網(wǎng)頁(yè)頁(yè)面內(nèi)容不會(huì)因?yàn)槲词跈?quán)的攻擊發(fā)生改變、通過(guò)腳本循環(huán)運(yùn)行findmmin-2-typef命令，每2s對(duì)網(wǎng)站文件夾下的新增或者被改寫的文件進(jìn)行查找，對(duì)發(fā)現(xiàn)的不安全的新增網(wǎng)頁(yè)及時(shí)進(jìn)行刪除，對(duì)被改寫的網(wǎng)頁(yè)文件通過(guò)使用備份文件自動(dòng)進(jìn)行恢復(fù)。通過(guò)shell腳本自動(dòng)監(jiān)控，簡(jiǎn)易實(shí)現(xiàn)了網(wǎng)頁(yè)防篡改功能，公司在確保業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的同時(shí)，達(dá)到了安全防護(hù)的目的。

4 waf防火墻防護(hù)

公司老舊業(yè)務(wù)系統(tǒng)普遍存在web應(yīng)用攻擊防護(hù)能力不足的問(wèn)題，如存在未對(duì)輸入數(shù)據(jù)進(jìn)行檢查過(guò)濾等缺陷，極易受到sql注入攻擊或者xss跨站攻擊等。通過(guò)將系統(tǒng)接入到waf防火墻后面，能大幅度增加系統(tǒng)對(duì)于web攻擊的防護(hù)能力。通過(guò)waf防火墻對(duì)數(shù)據(jù)包的解析，能有效阻止非授權(quán)的web訪問(wèn)、防御sql注入、跨站請(qǐng)求偽造、文件包含、數(shù)據(jù)竊取、防護(hù)惡意代碼等攻擊，并能通過(guò)waf防火墻的升級(jí)改造，進(jìn)一步提升web應(yīng)用防護(hù)能力。

5 結(jié)語(yǔ)

信息安全在公司的信息化建設(shè)中是一個(gè)永恒的課題，涉及技術(shù)、管理、運(yùn)維、使用等多個(gè)方面，既包括信息系統(tǒng)本身的問(wèn)題，也有物理和邏輯的方面。在目前信息化建設(shè)的浪潮中，我們應(yīng)該更加重視業(yè)務(wù)信息系統(tǒng)的安全威脅管理，實(shí)現(xiàn)信息系統(tǒng)可研、設(shè)計(jì)、建設(shè)、運(yùn)維和下線全周期的信息安全管理，為信息系統(tǒng)提供扎實(shí)的安全服務(wù)，降低信息安全威脅。這是公司面對(duì)21世紀(jì)信息化發(fā)展的迫切需要。

TP316.81

A

2095-2066（2016）35-0022-01

2016-12-2

彭駿馳（1979-），男，工程師，碩士，主要從事信息運(yùn)維工作。