核心目标
1.不让攻击者发现主机IP地址,找不到攻击的对象
2.禁止让攻击者获取root权限避免做后门操作
1.禁止IMAP协议的探测,禁止ping公网服务器能响应,让攻击者误以为这个主机IP不存在
2.对于一些安装的软件和开源项目的漏洞需要注意,关注OSCS安全新闻,使用代码安全扫描工具扫描一次和经过阿里云厂商提供的静态分析工具做一次扫描
3.禁止使用root账户运行MySQL或者Redis,对Redis设置强密码,Redis强密码不能设置特殊字符,比如:#,定期对Redis密码做更新,为每一个软件运行设置为每一个账户分配最小权限
4.禁止外网下载,下载软件统一只能从一台内网服务器下载
5.ssh登录每一次登录都需要做一次申请以及登录之后的录屏回放,保证登录的可追溯和登录后的操作可追溯,对于外来人员需要操作服务器,申请临时账户和密码允许操作,后面销毁账户。不允许有幽灵账户的存在
6.对防火墙的流量入口做限制,不允许陌生端口被开放
7.运维部门需要对开发部门进行培训,培养一定的网络安全意识,在CI/CD中做代码扫描,如果没有通过审查,禁止推送代码
8.定时执行巡检脚本,检测如果开放了多余的端口,立即告警通知运维,跟开发部门做沟通,是否存在有业务需要开放端口
9.公司内部建设一套运维管理平台,保证Redis密码不被所有人看到,配置文件只有超级管理员才能看到,动态密码配置
10.设置IP域的访问以及深信服代理工具来代理做代理访问Linux服务器
11.关注网络安全新闻,搜搜CVE漏洞库,对企业部署的做升级,在升级前最好在测试环境先验证在操作,避免造成不必要的麻烦,搜索只安装必要的软件,避免系统能被找到的攻击点越多,对一些可能会提升系统权限的漏洞进行升级
12.用技术来监控Linux所有文件的变更,如果有来自权限和文件内容的变更,搜集推送到一个日志系统,屏蔽一些安装导致的依赖的修改(或许能做到),来做到预警,避免被黑了还不知道机器已经被hack了
最后,这些网络安全的预防做法只是提高了攻击者的攻击成本,并不代表能够真正做到防住攻击者的攻击,只是提高了他们的攻击成本,面向用户的系统肯定要请渗透测试来测试,面向企业的内部部署的系统就很少考虑。
参考文献
cve漏洞库查询网站
漏洞情报中心
879
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
