如何提高服務(wù)器的安全性？

1、系統(tǒng)漏洞的修復(fù)

創(chuàng)新互聯(lián)主要從事網(wǎng)站制作、網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)開(kāi)州,10余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專(zhuān)業(yè),歡迎來(lái)電咨詢(xún)建站服務(wù):028-86922220

安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來(lái)賓賬戶(hù)例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫(xiě)入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶(hù)配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫(kù)優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪問(wèn)都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪問(wèn)環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以?xún)?yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓，硬盤(pán)空間不足，需要我們定期進(jìn)行清理。

如何做好服務(wù)器安全保障策略？

眾所周知，服務(wù)器在組織運(yùn)行中起著至關(guān)重要的作用，由于企業(yè)的數(shù)據(jù)都在服務(wù)器上，所以把服務(wù)器保護(hù)好，企業(yè)的安全能力會(huì)有一個(gè)大的提升,可是很多企業(yè)都沒(méi)有專(zhuān)業(yè)的服務(wù)器運(yùn)維人員，所以很多企業(yè)的服務(wù)器安全保障就成為了一個(gè)大問(wèn)題。如果有條件可以找專(zhuān)業(yè)的廠商，比如青藤云安全，青藤會(huì)從以下幾個(gè)方面來(lái)做好安全策略，1、不斷升級(jí)軟件和操作系統(tǒng)。2、將計(jì)算機(jī)配置為文件備份。3、設(shè)置對(duì)計(jì)算機(jī)文件的訪問(wèn)限制。4、做好安全監(jiān)控。5、安裝SSL證書(shū)。6、服務(wù)器密碼安全以及建立由內(nèi)而外的防御體系。

如何保證Web服務(wù)器安全？

一、在代碼編寫(xiě)時(shí)就要進(jìn)行漏洞測(cè)試。

二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控。

三、設(shè)置蜜罐，將攻擊者引向錯(cuò)誤的方向。

四、專(zhuān)人對(duì)Web服務(wù)器的安全性進(jìn)行測(cè)試。

在Web服務(wù)器的攻防戰(zhàn)上，這一個(gè)原則也適用。筆者建議，如果企業(yè)對(duì)于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)，此時(shí)最好設(shè)置一個(gè)專(zhuān)業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色，對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專(zhuān)業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)。　

一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道。現(xiàn)在要評(píng)估的是，Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來(lái)說(shuō)，這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)。即使攻擊最后沒(méi)有成功，Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒(méi)有發(fā)現(xiàn)、與最終有沒(méi)有取得成功，是兩個(gè)不同的概念。

二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上。畢竟大部分的攻擊行為，都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的。現(xiàn)在這個(gè)專(zhuān)業(yè)團(tuán)隊(duì)要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施。有時(shí)候我們都沒(méi)有發(fā)現(xiàn)的漏洞是無(wú)能為力，但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過(guò)。否則的話，也太便宜那些攻擊者了。

保障接口安全的5種常見(jiàn)方式

一般有五種方式：

1、Token授權(quán)認(rèn)證，防止未授權(quán)用戶(hù)獲取數(shù)據(jù)；

2、時(shí)間戳超時(shí)機(jī)制；

3、URL簽名，防止請(qǐng)求參數(shù)被篡改；

4、防重放，防止接口被第二次請(qǐng)求，防采集；

5、采用HTTPS通信協(xié)議，防止數(shù)據(jù)明文傳輸；

所有的安全措施都用上的話有時(shí)候難免太過(guò)復(fù)雜，在實(shí)際項(xiàng)目中需要根據(jù)自身情況作出取舍，比如可以只使用簽名機(jī)制就可以保證信息不會(huì)被篡改，或者定向提供服務(wù)的時(shí)候只用Token機(jī)制就可以了，如何取舍，全看項(xiàng)目實(shí)際情況和對(duì)接口安全性的要求。

HTTP協(xié)議是無(wú)狀態(tài)的，一次請(qǐng)求結(jié)束，連接斷開(kāi)，下次服務(wù)器再收到請(qǐng)求，它就不知道這個(gè)請(qǐng)求是哪個(gè)用戶(hù)發(fā)過(guò)來(lái)的，但是對(duì)我們有權(quán)限訪問(wèn)限制的模塊而言，它是需要有狀態(tài)管理的，以便服務(wù)端能夠準(zhǔn)確的知道HTTP請(qǐng)求是哪個(gè)用戶(hù)發(fā)起的，從而判斷他是否有權(quán)限繼續(xù)這個(gè)請(qǐng)求。

Token的設(shè)計(jì)方案是用戶(hù)在客戶(hù)端使用用戶(hù)名和密碼登錄后，服務(wù)器會(huì)給客戶(hù)端返回一個(gè)Token，并將Token以鍵值對(duì)的形式存放在緩存（一般是Redis）中，后續(xù)客戶(hù)端對(duì)需要授權(quán)模塊的所有操作都要帶上這個(gè)Token，服務(wù)器端接收到請(qǐng)求后進(jìn)行Token驗(yàn)證，如果Token存在，說(shuō)明是授權(quán)的請(qǐng)求。

Token生成的設(shè)計(jì)要求：

1、應(yīng)用內(nèi)一定要唯一，否則會(huì)出現(xiàn)授權(quán)混亂，A用戶(hù)看到了B用戶(hù)的數(shù)據(jù)；

2、每次生成的Token一定要不一樣，防止被記錄，授權(quán)永久有效；

3、一般Token對(duì)應(yīng)的是Redis的key，value存放的是這個(gè)用戶(hù)相關(guān)緩存信息，比如：用戶(hù)的id；

4、要設(shè)置Token的過(guò)期時(shí)間，過(guò)期后需要客戶(hù)端重新登錄，獲取新的Token，如果Token有效期設(shè)置較短，會(huì)反復(fù)需要用戶(hù)登錄，體驗(yàn)比較差，我們一般采用Token過(guò)期后，客戶(hù)端靜默登錄的方式，當(dāng)客戶(hù)端收到Token過(guò)期后，客戶(hù)端用本地保存的用戶(hù)名和密碼在后臺(tái)靜默登錄來(lái)獲取新的Token，還有一種是單獨(dú)出一個(gè)刷新Token的接口，但是一定要注意刷新機(jī)制和安全問(wèn)題；

根據(jù)上面的設(shè)計(jì)方案要求，我們很容易得到Token=md5(用戶(hù)ID+登錄的時(shí)間戳+服務(wù)器端秘鑰)這種方式來(lái)獲得Token，因?yàn)橛脩?hù)ID是應(yīng)用內(nèi)唯一的，登錄的時(shí)間戳保證每次登錄的時(shí)候都不一樣，服務(wù)器端秘鑰是配置在服務(wù)器端參與加密的字符串（即：鹽），目的是提高Token加密的破解難度，注意一定不要泄漏；

客戶(hù)端每次請(qǐng)求接口都帶上當(dāng)前時(shí)間的時(shí)間戳timestamp，服務(wù)端接收到timestamp后跟當(dāng)前時(shí)間進(jìn)行比對(duì)，如果時(shí)間差大于一定時(shí)間（比如：1分鐘），則認(rèn)為該請(qǐng)求失效。時(shí)間戳超時(shí)機(jī)制是防御DOS攻擊的有效手段。

寫(xiě)過(guò)支付寶或微信支付對(duì)接的同學(xué)肯定對(duì)URL簽名不陌生，我們只需要將原本發(fā)送給server端的明文參數(shù)做一下簽名，然后在server端用相同的算法再做一次簽名，對(duì)比兩次簽名就可以確保對(duì)應(yīng)明文的參數(shù)有沒(méi)有被中間人篡改過(guò)。

簽名算法：

1、首先對(duì)通信的參數(shù)按key進(jìn)行字母排序放入數(shù)組中（一般請(qǐng)求的接口地址也要參與排序和簽名，那么需要額外添加url= 這個(gè)參數(shù)）；

2、對(duì)排序完的數(shù)組鍵值對(duì)用進(jìn)行連接，形成用于加密的參數(shù)字符串；

3、在加密的參數(shù)字符串前面或者后面加上私鑰，然后用md5進(jìn)行加密，得到sign，然后隨著請(qǐng)求接口一起傳給服務(wù)器。

注意： 對(duì)于客戶(hù)端的私鑰一定要妥善處理好，不能被非法者拿到，如果針對(duì)于H5的項(xiàng)目，H5保存私鑰是個(gè)問(wèn)題，目前沒(méi)有更好的方法，也是一致困擾我的問(wèn)題，如果大家有更好的方法可以留言一起探討。

客戶(hù)端第一次訪問(wèn)時(shí)，將簽名sign存放到服務(wù)器的Redis中，超時(shí)時(shí)間設(shè)定為跟時(shí)間戳的超時(shí)時(shí)間一致，二者時(shí)間一致可以保證無(wú)論在timestamp限定時(shí)間內(nèi)還是外 URL都只能訪問(wèn)一次，如果被非法者截獲，使用同一個(gè)URL再次訪問(wèn)，如果發(fā)現(xiàn)緩存服務(wù)器中已經(jīng)存在了本次簽名，則拒絕服務(wù)。如果在緩存中的簽名失效的情況下，有人使用同一個(gè)URL再次訪問(wèn)，則會(huì)被時(shí)間戳超時(shí)機(jī)制攔截，這就是為什么要求sign的超時(shí)時(shí)間要設(shè)定為跟時(shí)間戳的超時(shí)時(shí)間一致。拒絕重復(fù)調(diào)用機(jī)制確保URL被別人截獲了也無(wú)法使用（如抓取數(shù)據(jù)）。

方案流程：

1、客戶(hù)端通過(guò)用戶(hù)名密碼登錄服務(wù)器并獲取Token；

2、客戶(hù)端生成時(shí)間戳timestamp，并將timestamp作為其中一個(gè)參數(shù)；

3、客戶(hù)端將所有的參數(shù)，包括Token和timestamp按照自己的簽名算法進(jìn)行排序加密得到簽名sign

4、將token、timestamp和sign作為請(qǐng)求時(shí)必須攜帶的參數(shù)加在每個(gè)請(qǐng)求的URL后邊

5、服務(wù)端對(duì)token、timestamp和sign進(jìn)行驗(yàn)證，只有在token有效、timestamp未超時(shí)、緩存服務(wù)器中不存在sign三種情況同時(shí)滿(mǎn)足，本次請(qǐng)求才有效；

眾所周知HTTP協(xié)議是以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了客戶(hù)端和服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號(hào)、密碼等。

為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS，為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為客戶(hù)端和服務(wù)器之間的通信加密。

HTTPS也不是絕對(duì)安全的，如下圖所示為中間人劫持攻擊，中間人可以獲取到客戶(hù)端與服務(wù)器之間所有的通信內(nèi)容。

中間人截取客戶(hù)端發(fā)送給服務(wù)器的請(qǐng)求，然后偽裝成客戶(hù)端與服務(wù)器進(jìn)行通信；將服務(wù)器返回給客戶(hù)端的內(nèi)容發(fā)送給客戶(hù)端，偽裝成服務(wù)器與客戶(hù)端進(jìn)行通信。 通過(guò)這樣的手段，便可以獲取客戶(hù)端和服務(wù)器之間通信的所有內(nèi)容。 使用中間人攻擊手段，必須要讓客戶(hù)端信任中間人的證書(shū)，如果客戶(hù)端不信任，則這種攻擊手段也無(wú)法發(fā)揮作用。

針對(duì)安全性要求一般的app，可采用通過(guò)校驗(yàn)域名，證書(shū)有效性、證書(shū)關(guān)鍵信息及證書(shū)鏈的方式。

以上說(shuō)的更多是設(shè)計(jì)階段的思路，如果API已經(jīng)在運(yùn)行的話，我們則需要通過(guò)其他方式，如API網(wǎng)關(guān)工具來(lái)保護(hù)我們的API，這里推薦的是Eolinker，對(duì)于上述的5個(gè)方面，都有對(duì)應(yīng)的功能做到保護(hù)API，可以自己部署開(kāi)源版本試用一下：

當(dāng)前名稱(chēng)：如何保證服務(wù)器通信安全 為保證服務(wù)器操作系統(tǒng)數(shù)據(jù)安全
文章出自：http://www.chinadenli.net/article48/dohidep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、微信小程序、網(wǎng)站策劃、網(wǎng)站改版、云服務(wù)器、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)