首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >Web服务器服务(仅用于web服务)

Web服务器服务(仅用于web服务)
EN

Server Fault用户
提问于 2011-08-03 04:31:34
回答 1查看 97关注 0票数 0

我正在使用虚拟专用服务器来访问web --仅在移动设备上使用的服务,访问和错误日志中有许多条目,甚至web服务器上没有任何条目。

我一点也不担心服务器安全。

我做过的事..。

代码语言:javascript
复制
Installed Fail2Ban
rkhunter
using SSH login
root login disabled.

我使用的服务器与灯的配置。

我还应该用什么其他安全措施来抵御攻击呢?

EN

回答 1

Server Fault用户

回答已采纳

发布于 2011-08-03 06:10:38

看来你现在保护了银行的后门,却忘了锁前门。

我为什么这么说?

你好像在担心你的个人安全。太好了,这绝对是一个值得保护的地方!但最有可能(成功)的攻击矢量将来自网络。典型的僵尸网络只会盲目地尝试加载常见的易受攻击的URLs -如果您没有安装phpBB或WordPress之类的东西,您就不用担心了。另外,如果您看到与Windows相关的URL,您不需要在Linux服务器上担心它们。

典型的web攻击包括

  • SQL注入。如果用户发送的数据没有得到正确验证,应用程序也没有使用准备好的SQL查询,则可以通过web注入额外的SQL查询,并以这种方式修改/下载SQL数据。看起来无害的反馈表单可能为SQL注入打开一扇门,例如,如果来自反馈文本区域的数据没有得到正确的验证。
  • 跨站点脚本(XSS)。通过使用JavaScript,可以执行各种各样的讨厌的事情,从网络钓鱼到攻击客户的计算机。
  • (分布式)拒绝服务攻击。僵尸网络试图通过发送大量请求、访问大量页面和/或违反TCP标准来轰炸您的服务器。
  • 垃圾邮件。有时垃圾邮件发送者试图滥用您的web服务器,使用一些已知的漏洞,使他们能够从您的服务器发送垃圾邮件。或者--或者更有可能--他们现在倾向于垃圾邮件你的公告栏,博客评论等等。

如何防范这种情况?

  • 最好的防御就是根本不在场。如果您不需要Apache模块或PHP扩展,请禁用它。如果您不需要在您的博客/ CMS软件的某些功能,禁用它。
  • 使用mod_security。当涉及到保护你的网络应用程序时,这个Apache模块是一个重量级的冠军.警告词:对许多人来说,这个模块是过分的,正确地配置它可能是乏味的。
  • 保持您的软件的最新。当涉及到更新您的web应用程序时,不要懒惰!安全漏洞在这些漏洞中很常见。
  • 不要依赖“它不是作为根的运行,我是安全的”咒语。我经常看到人们相信软件不是以root =安全的方式运行的。好吧,新闻快讯!出站http连接、发送电子邮件或执行SQL查询不需要根访问。
  • 使用防火墙。防火墙所有不需要的东西。如果您的服务器从来不需要建立出站http连接,那么将它们放到防火墙中。
票数 6
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/296940

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档