一、基础安全加固(无需编程)
-
系统与软件更新
bash
-
# 定期更新系统与软件包 sudo apt update && sudo apt upgrade -y # Ubuntu/Debian sudo yum update -y # CentOS/RHEL -
防火墙配置(使用 iptables 或 firewalld)
-
bash
# 示例:仅开放必要端口(SSH:22, HTTP:80, HTTPS:443) sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT sudo iptables -A INPUT -j DROP # 默认拒绝其他入站连接 -
SSH 安全加固
-
修改默认端口(如 2222)
-
禁止 root 登录
bash
# 编辑 /etc/ssh/sshd_config Port 2222 PermitRootLogin no PasswordAuthentication no # 使用密钥登录 -
-
禁用不必要的服务
bash
sudo systemctl disable apache2 # 如果使用 Nginx,则禁用 Apache
二、Web 服务器防护(配置为主)
-
Nginx/Apache 安全配置
-
# Nginx 配置示例
-
#隐藏版本信息 server_tokens off; 作用: 防止信息泄露:攻击者无法得知确切的 Nginx 版本 增加攻击难度:无法针对特定版本的已知漏洞发起攻击 安全最佳实践:减少服务器指纹信息暴露
防止点击劫持(Clickjacking)攻击 -
add_header X-Frame-Options DENY;
-
参数选项:
值 说明
DENY 完全禁止被嵌入到任何框架(最安全)
SAMEORIGIN 只允许同源网站嵌入
ALLOW-FROM uri 允许指定 URI 的网站嵌入(已废弃)add_header X-Frame-Options DENY; 作用:防止点击劫持(Clickjacking)攻击 攻击原理:恶意网站使用 <iframe> 嵌入你的网站,诱使用户在不知情的情况下点击 防护方式:控制页面是否可以被嵌入到框架中 应用场景: 银行网站:防止被钓鱼网站嵌入 后台管理系统:防止被恶意框架包裹add_header X-Content-Type-Options nosniff;
-
限制请求频率(防 CC 攻击)
nginx
# 在 Nginx 中限制同一 IP 的请求频率 limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; location / { limit_req zone=one burst=20; } -
文件权限控制
bash
# 限制 Web 目录权限
chown -R www-data:www-data /var/www/html chmod -R 750 /var/www/html
三、使用防护工具(无需编程)
-
安装 Fail2ban(防暴力破解)
bash
sudo apt install fail2ban -y sudo systemctl enable fail2ban配置日志监控规则(如 SSH、Nginx 登录失败封禁 IP)
-
启用 Cloudflare 或 CDN
-
通过控制台开启 WAF(Web 应用防火墙)、DDoS 防护。
-
隐藏服务器真实 IP。
-
-
入侵检测系统(IDS)
bash
# 安装并配置 Snort 或 OSSEC sudo apt install snort -y
四、应用层防护(可能需要简单脚本)
-
验证输入过滤(需编程)
php
// PHP 示例:过滤 SQL 注入 $input = mysqli_real_escape_string($conn, $_POST['input']);
python
# Python Flask 示例:限制请求大小 from flask import Flask app = Flask(__name__) app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024 # 限制 16MB
-
设置强密码策略
bash
# 编辑 /etc/pam.d/common-password password requisite pam_pwquality.so minlen=12 difok=3
-
日志监控与告警
bash
# 监控登录失败日志(简单脚本示例) tail -f /var/log/auth.log | grep "Failed password"
五、DDoS 防护(需结合服务与配置)
-
启用 SYN Cookie 防护
bash
sudo sysctl -w net.ipv4.tcp_syncookies=1
-
限制连接数
bash
# 使用 iptables 限制单个 IP 连接数 iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j DROP
-
使用云服务商的高防 IP(如阿里云 DDoS 高防、AWS Shield)
六、自动化防护(可选编程)
如果需要高级定制,可以编写脚本自动化响应:
python
# Python 示例:自动封禁频繁访问的 IP
import subprocess
from collections import defaultdict
# 分析日志并封禁 IP(需根据实际情况调整)
log_file = "/var/log/nginx/access.log"
ip_count = defaultdict(int)
with open(log_file, "r") as f:
for line in f:
ip = line.split()[0]
ip_count[ip] += 1
for ip, count in ip_count.items():
if count > 1000: # 阈值
subprocess.run(f"iptables -A INPUT -s {ip} -j DROP", shell=True)
总结
-
无需编程:基础防护可通过配置防火墙、更新系统、使用防护工具(Fail2ban、Cloudflare)实现。
-
需简单编程:针对应用层攻击(如 SQL 注入、CC 攻击)需在代码中添加过滤逻辑,或编写自动化脚本。
-
推荐组合:系统加固 + 防火墙 + WAF(如 ModSecurity 或 Cloudflare)+ Fail2ban + 定期备份。
根据服务器实际用途(如电商、博客、API 服务)调整防护重点,并定期进行漏洞扫描(使用 Nikto、Nmap 等工具)。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
