【教你搭建服务器系列】（9）让你的服务器更安全

上一篇文章介绍了使用秘钥对登录服务器的好处。 本文使用服务器为Centos 7.6 除了使用密钥对之外，只能确保我们的服务器是安全的，但是并不能确保我们的应用是安全的。 为什么这么说？ 可以查看一下本地的/var/log/secure 文件，记录了外界尝试登录你服务器的IP、用户名、端口： 如果你的密码过于简单，服务器就很容易被黑了。 以下介绍几种方法让你的服务更安全。 一、后台配置安全组规则 安全组规则是云厂商提供的访问规则。 安全组可以设置允许登录服务器的IP和端口，还有暴露到公网的允许端口。 安全组一共有两个： 入站规则 表示登入服务器的允许，如果我常用的IP是 192.168.0.12，协议端口为 22，那么我设置了这个入站规则，就只能允许这个IP和端口登录服务器。 但并不是所有的云厂商提供的服务器都有安全组的概念，如果没有，就需要我们自行配置服务器的防火墙了。

日志服务器（9）

安装 LogAnalyzer LogAnalyzer 的下载地址可以参考 下载 ，安装过程可以参考 安装 ---- 下载 LogAnalyzer [root@h105 src]# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz --2016-05-10 22:15:18-- http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz Resolv

详解tomcat 9 安全加固方法

directory="logs"prefix="localhost_access_log" suffix=".txt"pattern="%h %l %u %t "%r" %s %b" /> 9. border:none;}</style> </head> <body>

HTTP状态 404 - 未找到

描述 源服务器未能找到目标资源的表示或者是不愿公开一个已经存在的资源表示

Armv9安全新架构

Arm在今年3月份推出了ARmv9.Arm 期望Armv9架构将是未来3000亿颗基于Arm架构芯片的技术先驱，而Armv9架构中，ARM 提供了机密计算Arm Confidential ComputeArchitecture (Arm CCA)的安全新架构。 机密计算通过在硬件支持的安全环境中执行计算来显着降低与处理数据相关的风险，该环境保护代码和数据免受特权软件和硬件代理的观察或修改。 Arm CCA 提供额外的安全架构，即使在使用中也能保护数据和代码，并能够更好地控制谁可以访问数据和算法。 § 非常适合保护在公共云环境和主机操作系统的安全性和完整性难以审核或保证的任何平台中运行的工作负载。

安全测试工具（连载9）

4 APP反向编译工具 APP反向编译工具是APP安全领域很重要的工具，本节介绍Dex2jar、和jd-gui。秀一节介绍apktool。

Debian9服务器安装

1、环境说明：     （1）我的虚拟机是：VMware Workstation 12 Pro      （2）Debian9系统下载   2、系统安装：       至于虚拟机如何配置，这里就不再赘述了 然后点击Continue继续进行安装 你可以在这里给你的服务器起一个名字，默认为debian。 然后选择Continue继续安装 配置你的服务器系统root密码,然后继续安装.使用按键Tab可以切换到其他按钮上去。 选择否，继续安装、 选择否，继续 这里是让你选择安装软件包，如果是服务器的话，就不用安装桌面，直接使用命令行就可以了。可以根据自己的需要进行安装。 然后继续 至此，整个Debian9的安装就完成了，点击Continue系统将会重启。现在系统安装完毕了，但是还不能够访问，将会在下一篇里面教你如何修改接口配置。

微软安全公告—2016年9月

微软于北京时间2016年9月13日发布了14个新的安全公告，其中7个为严重等级，7个为重要等级。 我们推荐您安装所有更新，对于暂时只采用部分更新的用户，我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次，旨在解决严重的漏洞问题。 ---- 2016年9月新的安全漏洞 以下是所有安全公告的内容，供您参考。 1.0 (SMBv1) 服务器，则此漏洞可能允许远程代码执行。 其他 SMB 服务器版本不受此漏洞影响。尽管更高版本的操作系统受影响，但潜在的影响为拒绝服务。

服务器安全设置

我们第一处理的是将网站提示错误信息在服务器安全设置隐藏处理，让用户浏览下产生错误代码不显示，这还没完，还需把错误信息记录到错误日志方便管理员查阅。 PHP中设置 error_reporting(0) 即可隐藏所有错误服务器安全端口设置1.禁用不常用端口，例如：22、139、212.开放必要Web端口 80、443 端口。 服务器mysql数据库安全设置1.禁用root用户mysql 远程登录数据库2.定期对于mysql 数据库的备份，用于恢复数据库。

【9期】Timeline精选之安全大杂烩

[+] VMware vCenter 7.0.2.00100 unauth Arbitrary File Read + SSRF + Reflected XSS https://github.com/l0ggg/VMware_vCenter

OSPF技术连载9：OSPF TTL 安全检查

启用OSPF TTL 安全检查 为了抵御TTL攻击，OSPF TTL 安全检查机制应运而生。启用此功能后，OSPF将仅接受TTL为255的数据包，拒绝任何TTL小于配置阈值的数据包。 步骤： 启用OSPF TTL 安全检查 首先，需要在OSPF配置中启用TTL安全检查功能。 验证配置 配置完成后，建议验证OSPF TTL 安全检查是否已正确启用。 4、网络设备不支持OSPF TTL 安全检查 在某些情况下，一些旧的或特殊类型的网络设备可能不支持OSPF TTL 安全检查功能。 解决方案：在启用OSPF TTL 安全检查之前，请确保网络设备支持此功能。如果有设备不支持，可以考虑升级设备固件或寻找其他安全措施。

OSPF技术连载9：OSPF TTL 安全检查

启用OSPF TTL 安全检查为了抵御TTL攻击，OSPF TTL 安全检查机制应运而生。启用此功能后，OSPF将仅接受TTL为255的数据包，拒绝任何TTL小于配置阈值的数据包。 步骤：图片启用OSPF TTL 安全检查首先，需要在OSPF配置中启用TTL安全检查功能。 验证配置配置完成后，建议验证OSPF TTL 安全检查是否已正确启用。 4、网络设备不支持OSPF TTL 安全检查在某些情况下，一些旧的或特殊类型的网络设备可能不支持OSPF TTL 安全检查功能。 解决方案：在启用OSPF TTL 安全检查之前，请确保网络设备支持此功能。如果有设备不支持，可以考虑升级设备固件或寻找其他安全措施。

Linux服务器安全加固

对未经过安全认证的RPM包进行安全检查 rpm -qp xxx.rpm --scripts 查看rpm包中的脚本信息 Linux用户方面的加固 设定密码策略 修改 /etc/login.defs

服务器安全策略

端口相关问题 许多服务都需要开通端口，而每增加一个端口，就为服务器的安全增加了一个隐患。 关闭不需要的端口 通常，服务器默认会开启一些端口，以便于服务使用。 如果你的服务器恰巧不需要使用任何一个端口，请及时关闭，防止被利用。 使用阿里云服务器的小伙伴，可以在安全组拒绝ssh端口的通信，等到需要的时候再打开使用。 这个规则的修改方法在阿*云的服务器安全内有显示。 安装安全软件 自己的防护往往不如第三方的防护专业，强烈建议大家安装诸如云锁、悬镜、安全狗、D盾等服务器安全软件，安全领域的公司往往有丰富的经验。 时刻保持警惕 不要以为这个世界上有绝对安全的防护方法，只有及时修复漏洞，定期备份数据，检查服务器日志才能保障服务器的安全稳定运行。 不要泄露服务器的IP地址，不要泄露服务器内的所有服务信息，端口。 选择正版的网站源码，正版的服务器安全软件。 希望每个服务器都不要被恶意入侵，安全策略只是其中的一道防线。 本篇文章仅代表个人观点，若有不足，欢迎补充。

Linux 服务器安全配置

按照下面的步骤修改服务器安全配置，腾讯云主机安全不会报任何主机配置的安全问题。

使用Debian 9进行初始服务器设置

介绍 当您第一次创建新的Debian 9服务器时，您应该尽早采取一些配置步骤作为基本设置的一部分。这将提高服务器的安全性和可用性，并为后续操作奠定坚实的基础。 request, exiting sent invalidate(group) request, exiting 这些消息是无害的，但是如果您希望避免它们，如果您不打算使用LDAP等系统获取用户信息，则可以安全地删除 默认情况下，在Debian 9上，允许属于sudo组的用户使用该sudo命令。 为了增强服务器的安全性，我们强烈建议您设置SSH密钥而不是使用密码身份验证。 如果Root帐户使用SSH密钥身份验证 如果使用SSH密钥登录到root帐户，则会禁用 SSH的密码身份验证。 ---- 参考文献：《Initial Server Setup with Debian 9》

9-web服务器软件概述+Tomcat

Web服务器软件 服务器概念 安装了服务器软件的计算机 服务器软件概念 接收用户请求，处理请求并做出响应 Web服务器软件概念 服务器软件的一种，在web服务器软件中，可以部署web项目，让用户通过浏览器访问项目 ，又被称为web容器 常见的Java相关的web服务器软件 webLogic:oracle公司的，大型JavaEE服务器，支持所有JavaEE规范，收费。 webSphere:IBM公司，大型JavaEE服务器，支持所有JavaEE规范，收费。 JBOSS:JBOSS公司，大型JavaEE服务器，支持所有JavaEE规范，收费。 Tomcat:Apache基金组织的，中小型JavaEE服务器，仅支持少量的JavaEE规范（如：servlet/jsp）开源免费的 Tomacat 下载：https://tomcat.apache.org

云上服务器安全

目录 课程目标 1.服务器面临的安全挑战 2016年服务器安全健康状况 服务器面临的安全挑战 1.高危漏洞攻击 2.开放端口攻击 3.恶意木马攻击 2.服务器安全管理123 服务器安全管理的五种方式 1.服务器面临的安全挑战 2016年服务器安全健康状况 ? 服务器面临的安全挑战 自身脆弱性、外部威胁 ? 1.高危漏洞攻击 ? 2.开放端口攻击 ? 3.恶意木马攻击 ? 2.服务器安全管理123 服务器安全管理的五种方式 ? 1.及时打补丁 ? ? ? 2.修改默认的账号密码 ? ? 3.启动防火墙 ? 5.检测服务器日志 ? 在控制面板 \ 所有控制面板项 \ 管理工具里 点击事件查看器 ? 可以看windows日志、应用程序和服务日志 ? 3.通过安骑士发现登录风险 安骑士是阿里云上的一款安全防护产品 阿里云安骑士的主要功能 ? 阿里云安骑士架构 ? 1.异地登录 ? ? 2.暴力破解 ? 3.登录IP白名单 ?

云服务器安全设置

设置云服务器的安全性是确保数据和服务免受未经授权的访问和潜在威胁的重要步骤。访问控制SSH密钥认证：禁用密码登录，改用SSH密钥认证来登录服务器。这大大增加了登录的安全性。 多因素认证（MFA）：启用MFA来增加额外的安全层，即使用户名和密码被泄露，攻击者也难以登录。防火墙设置配置防火墙规则：使用云提供商的防火墙服务或服务器上的防火墙安全组来限制进出流量。 日志监控：使用工具监控服务器日志文件，及时发现和响应安全事件。备份策略定期备份：设立自动备份计划，定期备份数据，并确保备份数据存储在安全的位置。 安全编码实践：开发和部署应用时，遵循安全编码规范，减少漏洞风险。监控与报警安全监控工具：使用安全监控工具（如Nagios, Zabbix）来实时监控服务器状态。 通过实施这些安全措施，云服务器的安全性可以显著提高，从而有效地防止潜在的安全威胁和数据泄露。

开发服务器安全加固

目的 防范因为主机没有加固，造成储存在开发服务器中的源代码和测试数据被黑客获取。 范围 本规范适合于开发服务器安全加固配置。 MYSQL 1. 3 安全配置 3.1 控制脚本访问权限 PHP默认配置允许php脚本程序访问服务器上的任意文件，为避免php脚本访问不该访问的文件，从一定程度上限制了php木马的危害，需设置php只能访问网站目录或者其他必须可访问的目录 ，所以服务器建议禁止错误提示。 打开php.ini，安全加固配置方式如下，关闭错误信息显示设置： display_errors = Off 4.4 开启错误日志记录 在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因 /data/nginx_logs/access.log combined; 4.3 目录安全配置 如果Nginx以nobody用户启动，则黑客通过网站漏洞入侵服务器后，将获得nginx的nobody权限

服务器安全设置之组件安全设置篇

WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之–组件安全设置篇 A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个 guests 2003使用命令：cacls C:/WINDOWS/system32/Cmd.exe /e /d guests 通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置 ，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。 可以使用阿江ASP探针来检测下系统的安全状态。