无需投入成本,教你配置服务器,防止用户数据被人为泄漏

最新推荐文章于 2022-10-15 11:41:07 发布
最新推荐文章于 2022-10-15 11:41:07 发布
阅读量856 收藏 1
点赞数 1
分类专栏: 运维 文章标签: 防止 预防 用户数据 泄漏 泄露

企业的数据是一个企业多年业务的积累,是企业宝贵的财富。对于互联网企业,更是他的生命线。同时,随着互联网的实名制推进,保护数据不被泄露越来越重要。本文以Linux为例介绍一种运维策略,通过使用“桃源监控室”软件,实施一套等同于银行级的安全防护措施。

第一步 建立保护域

保护域是多个需要保护的服务器集合,他们之间可以自由的访问,传送数据。但是对于保护域之外的主机,只允许数据传入,不允许传出。(以下步骤未特别说明,均采用root用户执行)
防火墙的配置示例如下 

[root@tp ~]# iptables -P INPUT DROP #默认禁止一切通信传入
[root@tp ~]# iptables -P OUTPUT DROP #默认禁止一切通信传出

允许sshd和ftp服务。

[root@vmleman ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@vmleman ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@vmleman ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

允许保护域内的其他主机互访(可选,主要根据业务需要配置)。

[root@vmleman ~]# iptables -A INPUT -p tcp --src x.x.x.x -j ACCEPT
[root@vmleman ~]# iptables -A OUTPUT -p tcp --dst x.x.x.x -j ACCEPT

(其中x.x.x.x是保护域的其他主机IP地址,每个主机加两条,INPUT和OUTPUT对应)
最后,运行service iptables save命令,保存配置。

第二步 配置ftp传入策略

有时候,我们需要将外部文件传入到服务器上。不过也需要配置一个严密的安全通道。
配置vsftpd.conf,添加匿名用户权限
1)确保匿名用户主目录及其子目录对普通用户没有写权限。
匿名用户所在目录(/var/ftp/)任何人都可访问,相当于外部环境,因此不允许一般用户写入,否则数据将会传出。

[rhel5@vmleman ftp]$ ls -ld `find /var/ftp/`
drwxr-xr-x 3 root root 4096 2011-09-08 /var/ftp/
drwxr-xr-x 2 root root 4096 2007-12-13 /var/ftp/pub

CentOS系列默认就是没有写权限的,基本不需要修改。
2)在匿名用户主目录下创建upload目录,属主改为ftp

[root@vmleman ~]# mkdir /var/ftp/upload
[root@vmleman ~]# chown ftp /var/ftp/upload/

3)配置vsftpd.conf,添加匿名用户权限

anon_upload_enable=YES  
anon_mkdir_write_enable=YES  
anon_other_write_enable=YES  
anon_umask=022

设置umask是为了防止创建其他用户可写的目录,产生安全漏洞。
任何人都可以用ftp将文件放到upload目录下,登入到系统后,再从这个目录下拷贝内容即可。
告诉你的员工,在ftp文件传输时使用port模式

第三步 使用41putty

41putty是经过特殊处理的putty软件,你的员工使用41putty登入服务器后无法下载文件和复制内容到本地电脑。
在41putty官方网站(www.bankithub.com)申请后,你将得到一个定制的41putty软件和一个私人密钥。
你用这个密钥将登陆口令加密后告诉你的员工,他将使用加密后的口令登陆,因此你们员工并不知道真实的登入口令。

最后,使用如下命令,禁止普通用户修改密码:

chmod g-r,o-r /usr/bin/passwd

第四步 使用桃源监控软件

使用41putty基本满足大多数运维需求,但由于他是命令行界面,对于管理数据库可能不方便。
因此可以使用桃源监控室软件(dbeaver),它是一个图形界面的数据库管理工具,支持主流的数据库。
dbeaver需要经过41putty的认证后方可访问安全域,使用它可以方便管理数据库,但也不可以导出数据。
桃源监控室软件下载:
http://pan.baidu.com/s/146CxP#dir/path=%2Ftools

最后 安全分析

目前在安全域对外开发的端口只有
1)22端口,通过41putty控制,不会泄露数据。
2)21,20端口,ftp占用,有vsftpd服务控制,只要vsftpd没有漏洞就不会泄露数据
3)应用端口,如web服务器的80,由应用服务占用,不会传输数据,后门问题可以通过版本控制加以审计。
4)特殊应用可以通过端口加对端主机限制连接,添加防火墙例外出口。
除此之外的其他端口未开放,不可能泄露数据。整个方案类似于搭建了一个虚拟隔离的监控室。
因此,只有知道root用户密码41putty的私人密钥才可以导出数据。这两个密钥可以交给值得信任的CIO

leiminghany
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互联网时代,如何防止个人信息泄露
军说网事
07-25 3915
一、个人信息可能从哪些方面泄露   随着互联网的运用越发广泛,我们生活的方方面面基本都被互联了起来。在享受互联生活所带来的便利的同时,生活中的每一个细节却也被互联网记录了下来。互联网服务商、电信运营商、银行、中介机构、房地产开发商、保险公司、快递公司、外卖机构、淘宝卖家等各种组织机构或企业、个人都在长期的经营中,逐渐形成并积累各自的用户信息数据库。 其中涉及姓名、性别、年龄、生日、住址、电话...
服务器怎么防止信息泄露,新手必看:怎么保证服务器里面数据的安全呢?
weixin_39665302的博客
08-06 1011
原标题:新手必看:怎么保证服务器里面数据的安全呢?其实在这个人人都知道的互联网时代,网络也已经成为了一种生活方式,而服务器也遍布在每一个角落。但是很多时候网络的数据泄露让大家也越来越谨慎,从而不敢随意在互联网上留下自己的信息,有些地方也不太敢随意登录,这致使网站企业的运营者也越来越重视自家服务器数据安全。那么如何才能保证服务器数据的安全呢? 1.树立数据安全保护意识:很多企业在云端数据信息的保护...
服务器信息泄露,云服务器数据泄露
weixin_31328141的博客
08-13 868
服务器数据泄露 内容精选换一换数据盘可以在购买云服务器的时候购买,由系统自动挂载给云服务器。也可以在购买了云服务器之后,单独购买云硬盘并挂载给云服务器。对于Windows云服务器而言:如果您跟随云服务器已经购买了数据盘,则需要登录云服务器数据盘进行初始化,初始化成功后可以看到数据盘(例如D盘)。如果您没有跟随云服务器购买数据盘,则需要先购买数据盘并挂载至云服务器。然华为云帮助中心,为用户提供产...
大型 IT 公司如何防止运维偷窥和篡改数据
民工哥的博客
04-10 1385
问题:像 BAT 这类公司,以及各种银行,金融行业的 IT 运维,他们有着服务器的最高权限,那么这种行业如何对运维的操作权限进行审计和监管?以下为知乎用户@张成的回答:曾...
服务器如何避免【数据泄露】?
最新发布
thisismak的博客
10-15 270
数据泄露一直是任何企业面对及难以应对的问题, 不论是小公司还是跨国全球大企业, 也有机会成为被数据泄露的目标, 应如何自救将发生可能性减至最低, 我们将会在文章为大家分享
实战:第一章:防止其他人通过用户的url访问用户私人数据
weixin_44519496的博客
10-03 423
解决思路:防止其他人通过用户的url访问用户私人数据 思路一:url中放入userId,根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问, 这样会将userId暴漏在url中,不安全。解决方案:url做成通用的,数据请求需要用户自己主动触发(百度的)(不建议使用) 思路二:访问都需要登陆操作,session中放入userId, 记录中放入userId,每次访问的时候根据url中记录id 得到数据,根据数据中的userId 和session中的userId 是否匹配判断
Fiddler- 篡改服务器返回的数据
wutrg1502的博客
04-22 990
思路: 首先打开咋们的fiddler了,配置一下filter过滤器,过滤到只显示接口信息,然后save一下对应接口的返回数据,然后将接口拉到AutoResponder中,更改接口的"then respond with"文件,改成之前save的文件。然后改文件里的值,再去刷新浏览器中的页面,检查返回数据就ok啦 截图: 1. 开拦截 2. 保存服务器返回的数据 3. 将接口直接左向拉取到AutoRespinder中 4. 更改响应文件 5. 启用rule 6. 刷新浏览器..
企业如何预防数据泄露
weixin_33724570的博客
12-05 367
  企业如何预防数据泄露  近年来,泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈,不仅给企业带来严重的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。因此,企业在加强信息安全管理的基础上,必须得做好数据保护管理并策划一份解决方案  一、泄密是如何发生的?  泄密的情况是多种多样的,不该将所有的泄密都混为一谈。分析泄密的产生原因是很有必要的...
关于避免审查元素时,修改数据和提交数据,造成恶意审查修改的方法总结
热门推荐
bingcool
10-13 2万+
作为一名程序员或者用户,都知道在浏览器审查元素时,是可以修改数据的,如果修改数据,在提交就会造成不可预想的后果,特别是在数据安全的领域。一般查询数据都会返回记录的id,和一些关键的信息,虽然这些信息不是显然地在前端显示出来,但是一般会隐藏在input框或者一个data-的属性中,在修改,删除记录时,把id以get或者post的形式将数据传递给服务端,诺任意修改了id的值,就会恶意误删数据(可能是别
服务器共享文件指定权限,服务器共享文件夹设置权限、防止服务器文件复制、文件服务器访问权限设置的方法...
weixin_42160645的博客
07-29 1241
当前,很多单位局域网都搭建了文件服务器,文件服务器也是企业重要的服务器应用之一。通过文件服务器服务器,一方面可以实时存储单位重要的文件,如客户资料、源代码等;另一方面也便于实现文件共享,便于实现局域网用户协同办公等。但是,由于企业文件服务器通常会存储单位重要的机密信息,因此在配备服务器共享文件服务器的同时,如何保护服务器共享文件的安全,就成为网络管理员人员必须要考虑的重要问题。目前,很多网络管理人...
你知道吗?软件修复可防止数据泄露事故
weixin_34204722的博客
07-04 78
根据对318家公司安全自动化调查发现,大约80%公司遭遇的数据泄露事故或者审计失败可通过软件修复或配置更改而避免。 这次调查由研究公司Voke Media在2016年年底进行,调查发现,大约27%的公司在过去18个月遭遇审计失败,其中81%可通过修复或配置更改来避免。同样地,26%报告了数据泄露事故,其中79%可通过这两种措施来避免。 将近半数46...
服务器数据泄漏,深信达-MCK
cnsinda_htt的博客
11-20 551
一则物流公司“内鬼”把物流系统账号租给不法分子,不法分子侵入系统盗取公民个人信息层层倒卖的新闻。近日, 河北邯郸警方成功侦破一起侵犯公民个人信息的跨省系列案件。经初步侦查,该团伙涉及买卖公民个人信息1300余万条,非法获利120余万元。 经过精准研判,周密部署,8月27日,民警将沙河籍男子张某、高某抓获,9月3日,将河南籍男子马某抓获归案。经审讯,张某、高某、马某对租用快递查询账号贩卖公民信息的犯罪事实供认不讳。经进一步审讯深挖,犯罪嫌疑人供述曾租用武安市某快递公司员工任某内部查询账号,非法获取公民个
41putty——防截屏的SSH客户端
leiminghany的专栏
12-10 1220
对于Linux开发人员,在有些时候,你是否希望将自己的程序展示给别人看,而又不想被别人拷贝出去呢? 41putty可以满足你的需求,它是putty的一个改造版本。 使用它,用户登入你的服务器后,可以正常操作,但最多只允许复制28个字符。 41putty通过对登入口令进行临时解密后登入,所以管理员不需要公开登入口令。 41putty对putty改造内容如下: 1)限制屏幕复制 2)增加加
服务器安全防范-svn安全设设置
一名普通码农的菜地
06-02 1904
前言 svn是常用服务之一,所以也是必须对外开放的,同时必须加以防范。 修改端口 更改svn的默认配置(更改默认的指向目录和默认端口) # sudo vim /etc/sysconfig/svnserve 编辑示例: OPTIONS="-r /data/svn --listen-port 3661" 然后,记得在阿里云的规则里面放行,同时,防火墙也要放行: firewall-cmd --add...
Oracle数据安全解决方案系列
ciren660440648的博客
05-21 347
由于工作上的需要,最近一直在研究Oracle数据数据安全解决方案,现在数据安全越来越被各大公司,企业以及政府部门提上议程了,前几天新闻报道现在身份证号码泄露情况相当严重,还有对于个人信息的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值