网站安全规范

最新推荐文章于 2023-06-28 09:01:04 发布

i_zane

最新推荐文章于 2023-06-28 09:01:04 发布

阅读量690

点赞数

分类专栏： Linux

本文链接：https://blog.csdn.net/qq_39059866/article/details/89485935

版权

Linux 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

系统账号管理不规范

由于root权限为系统最高权限，可以对系统进行所有管理配置操作，一旦被攻击者获取利用，将严重威胁网站的安全性。建议禁用roo直接登录，开放普通用户登录，通过普通用户登录再su进行系统管理

 adduser admin  (添加用户)
 passwd  admin （设置密码）
 vim /etc/sudoers 
 	## Allow root to run any commands anywhere
	root  ALL=(ALL)   ALL
	admin  ALL=(ALL)   ALL
	# 注意： 这个文件只读是一种保护机制，所以保存时得使用: wq!
vim /etc/ssh/sshd_config
	修改 PermitRootLogin 为  no
service sshd restart

系统日志保存不达标

远程登录服务器主机，查看系统日志保存配置文件，发现日志保存为每周，保存周期为一个月，不符合《网络安全法》、《网络安全等级保护管理条例》规定日志应保存不少于6个月

 vim /etc/logrotate.conf
 	# keep 4 weeks worth of backlogs
	rotate 4 改为 rotate 12 //最多转储12次
	
	将/var/log/wtmp{
		...
		rotate 1 中的1改为3
	}
service syslog restart //重启syslog进程

存储型跨站脚本攻击漏洞（高危）
跨站脚本攻击，XSS又叫CSS (Cross Site Script)。XSS属于被动式的攻击，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。攻击者经常利用跨站脚本攻击的方式进行网络钓鱼行为。或诱骗用户点击含有跨站脚本攻击的连接，从而获取用户的COOKIE等信息，绕过用户身份认证，直接进入用户登录页面。
解决方式：
- 客户端：
  a). 禁止输入、提交<、>、script、/、(、)、”等特殊字符。
  b). 明确各个输入框可以接受的字符类型和长度。
- 服务器端：
  对接收的内容数据进行编码（如HTMLEncode、htmlspecialchars），显示内容的原始字符串，禁止其以HTML、Javascript等脚本语言方法解释执行。
服务器信息泄露（中危）
网站部署完毕含有大量服务器配置、版本、运行环境信息，可以为攻击者了解网站配置，进行下一步攻击提供帮助。
解决方式：
将这些敏感文件进行删除、访问权限控制。
网站上线后应将debug 模式关闭。错误页面包含源码、文件名、调用函数名等敏感信息