网站服务器安全构建策略基础-唐霜

网站服务器不被攻击是不可能的事，世界上的【转载请注明来源】【版权所有，侵权必究】黑客无时无刻不在惦记着你的服务器，用它来原创内容，盗版必究。本文版权归作者所有，未经授权不得转载。转发攻击、作为肉鸡、甚至用来挖比特币。你转载请注明出处：www.tangshuang.net【未经授权禁止转载】或许觉得服务器的安全并没有想的那么严重，【未经授权禁止转载】【转载请注明来源】谁会在乎你的小站呢？话虽如此，对于黑客而本文版权归作者所有，未经授权不得转载。【原创内容，转载请注明出处】言，只需要用自己的程序自动去扫描完成所有【关注微信公众号：wwwtangshuangnet】著作权归作者所有，禁止商业用途转载。入侵即可，黑客自己或许都不清楚自己到底入转载请注明出处：www.tangshuang.net【原创不易，请尊重版权】侵了多少台服务器。

作为网站的创办者，如何连起码的服务器安全著作权归作者所有，禁止商业用途转载。本文版权归作者所有，未经授权不得转载。意识都没有，那么当大难来临时，或许只有捶【版权所有】唐霜 www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】胸顿足。本文简单的讲一些我所遇到的想到的【本文首发于唐霜的博客】【关注微信公众号：wwwtangshuangnet】安全策略，以供参考。

登陆安全策略【原创不易，请尊重版权】

【作者：唐霜】未经授权，禁止复制转载。原创内容，盗版必究。

黑客的90%对服务器的攻击，都是通过尝试未经授权，禁止复制转载。著作权归作者所有，禁止商业用途转载。破解服务器的登陆账号而实现的。由于我们很【本文受版权保护】未经授权，禁止复制转载。多人缺乏经验，所以在购买云服务器之后，往【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】往按照网上的一些教程，搭建起web环境，原创内容，盗版必究。转载请注明出处：www.tangshuang.net然后就开始把重点放在web的开发和管理上【原创内容，转载请注明出处】【关注微信公众号：wwwtangshuangnet】，而直接无视服务器本身的安全问题。如何换著作权归作者所有，禁止商业用途转载。【原创不易，请尊重版权】位思考，你作为黑客，如果想搞一个网站，最【本文首发于唐霜的博客】原创内容，盗版必究。狠的方法是什么？就是获取该网站所在服务器本文作者：唐霜，转载请注明出处。本文版权归作者所有，未经授权不得转载。的登陆账号及密码，登陆之后，把该服务器上本文版权归作者所有，未经授权不得转载。【作者：唐霜】的网站代码删掉，数据删掉。所以，保护你的本文作者：唐霜，转载请注明出处。【未经授权禁止转载】登陆信息至关重要。

【访问 www.tangshuang.net 获取更多精彩内容】本文版权归作者所有，未经授权不得转载。【转载请注明来源】著作权归作者所有，禁止商业用途转载。本文作者：唐霜，转载请注明出处。

创建非root管理员用户【版权所有】唐霜 www.tangshuang.net

转载请注明出处：www.tangshuang.net【本文受版权保护】【转载请注明来源】转载请注明出处：www.tangshuang.net【本文受版权保护】

一个系统中只有一个root，但是其他用户转载请注明出处：www.tangshuang.net著作权归作者所有，禁止商业用途转载。却可以随意创建。如果你创建了一个其他用户【访问 www.tangshuang.net 获取更多精彩内容】【版权所有】唐霜 www.tangshuang.net用来作为管理，而禁用了root，你的系统【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】就会瞬间增加10倍以上的安全系数。因为你【转载请注明来源】转载请注明出处：www.tangshuang.net所创建的管理员用户名，黑客就很难猜到。你【原创内容，转载请注明出处】【版权所有，侵权必究】可以用你的名字或昵称作为管理员账号，黑客著作权归作者所有，禁止商业用途转载。【访问 www.tangshuang.net 获取更多精彩内容】如何不知道这个账号，就无法登陆到你的服务【本文首发于唐霜的博客】原创内容，盗版必究。器干坏事了。

首先，创建非管理员用户及用户组。著作权归作者所有，禁止商业用途转载。

【本文首发于唐霜的博客】【作者：唐霜】【本文首发于唐霜的博客】著作权归作者所有，禁止商业用途转载。著作权归作者所有，禁止商业用途转载。

groupadd webmaster
useradd -g webmaster administrator

这样，创建了一个webmaster用户组【本文受版权保护】著作权归作者所有，禁止商业用途转载。，在这个组中，增加了一个administ【原创不易，请尊重版权】【本文受版权保护】rator用户。

【关注微信公众号：wwwtangshuangnet】著作权归作者所有，禁止商业用途转载。【转载请注明来源】

其次，在sshd的配置文件中修改ssh登著作权归作者所有，禁止商业用途转载。原创内容，盗版必究。陆权限。

vi /etc/ssh/sshd_config

找到PermitRootLogin，将它【访问 www.tangshuang.net 获取更多精彩内容】转载请注明出处：www.tangshuang.net的值修改为no。这样就禁止了root通过原创内容，盗版必究。【版权所有】唐霜 www.tangshuang.netssh登陆。但是，我们还要再做一个限制，原创内容，盗版必究。本文作者：唐霜，转载请注明出处。就是找到（如果没有，增加一行）Allow【版权所有】唐霜 www.tangshuang.net【版权所有】唐霜 www.tangshuang.netUsers，修改为如下：

【未经授权禁止转载】【原创内容，转载请注明出处】【本文受版权保护】

AllowUsers administrator

AllowUsers配置项表示，仅运行后【关注微信公众号：wwwtangshuangnet】本文版权归作者所有，未经授权不得转载。面配置的这些用户通过ssh登陆。一旦设置原创内容，盗版必究。本文作者：唐霜，转载请注明出处。了这个项，其他所有用户都无法通过ssh登转载请注明出处：www.tangshuang.net本文版权归作者所有，未经授权不得转载。陆了，这是我们想要的。

【转载请注明来源】原创内容，盗版必究。【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。【未经授权禁止转载】

重启sshd服务（先别慌马上去做，往下面未经授权，禁止复制转载。【关注微信公众号：wwwtangshuangnet】读完本节再执行重启）。

【原创内容，转载请注明出处】【关注微信公众号：wwwtangshuangnet】著作权归作者所有，禁止商业用途转载。未经授权，禁止复制转载。本文版权归作者所有，未经授权不得转载。

service sshd restart

这样，你的服务器仅允许administr【本文首发于唐霜的博客】【访问 www.tangshuang.net 获取更多精彩内容】ator登陆了。等一下，是不是漏了什么？本文作者：唐霜，转载请注明出处。著作权归作者所有，禁止商业用途转载。我CAO，administrator的密【作者：唐霜】本文作者：唐霜，转载请注明出处。码没有设置啊！不要慌，sshd重启之后，未经授权，禁止复制转载。【版权所有】唐霜 www.tangshuang.net当前你还是root用户，你还是可以给这个【作者：唐霜】【未经授权禁止转载】用户设置密码的。不过接着往下读，你会发现【未经授权禁止转载】著作权归作者所有，禁止商业用途转载。好玩的事。

补充：赋予administrator执行未经授权，禁止复制转载。【未经授权禁止转载】sudo的权限

如果是裸机，administrator默本文版权归作者所有，未经授权不得转载。【作者：唐霜】认是没有sudo命令的权限的，需要用ro【本文受版权保护】著作权归作者所有，禁止商业用途转载。ot用户登录后做如下操作。

chmod u+w /etc/sudoers
vi /etc/sudoers

找到 root ALL=(ALL) AL【版权所有，侵权必究】【关注微信公众号：wwwtangshuangnet】L,在他下面添加 administrator ALL=(ALL) ALL，这样就允许了administrator著作权归作者所有，禁止商业用途转载。原创内容，盗版必究。可以执行sudo命令了。但是如果你按照上著作权归作者所有，禁止商业用途转载。原创内容，盗版必究。面的方法，不打算为administrat【版权所有】唐霜 www.tangshuang.net【关注微信公众号：wwwtangshuangnet】or设置密码，那么需要把这行修改为：

administrator ALL=(ALL) NOPASSWD:ALL

因为我们都很熟悉，一般在第一次执行sud【原创不易，请尊重版权】【作者：唐霜】o的时候是必须要输入密码的，而如果我们按原创内容，盗版必究。【版权所有，侵权必究】照上面的方法，没有设置密码的话，就麻烦了【关注微信公众号：wwwtangshuangnet】【原创不易，请尊重版权】，输入密码的时候你根本没有密码可以输入啊【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】，所以这个地方要注意一下。

使用SSH密钥登陆【未经授权禁止转载】

【原创内容，转载请注明出处】【本文受版权保护】转载请注明出处：www.tangshuang.net【作者：唐霜】

在《【访问 www.tangshuang.net 获取更多精彩内容】使用SSH证书远程登陆你的服务器【版权所有】唐霜 www.tangshuang.net》一文中，我大致讲到了使用ssh密钥登陆转载请注明出处：www.tangshuang.net未经授权，禁止复制转载。的过程。不过，本文讲的更简洁好用。前面不本文版权归作者所有，未经授权不得转载。【本文首发于唐霜的博客】是已经提到了，你没有给administr本文版权归作者所有，未经授权不得转载。【未经授权禁止转载】ator设置密码吗？如果你使用ssh密钥【转载请注明来源】【关注微信公众号：wwwtangshuangnet】登陆，就不需要密码了。注意，你当前在服务器上操作的，还是roo原创内容，盗版必究。【本文首发于唐霜的博客】t用户，千万不要退出来，否则你就悲剧了！读罢上面我提到这篇文章，我想你应该懂了【关注微信公众号：wwwtangshuangnet】【作者：唐霜】了ssh登陆的原理。我们这篇文章就不讲了【版权所有】唐霜 www.tangshuang.net【版权所有，侵权必究】，直接上操作方法。

【访问 www.tangshuang.net 获取更多精彩内容】【原创不易，请尊重版权】【关注微信公众号：wwwtangshuangnet】本文版权归作者所有，未经授权不得转载。【转载请注明来源】

首先，生成ssh密钥对。使用ssh-ke【版权所有】唐霜 www.tangshuang.net转载请注明出处：www.tangshuang.netygen命令即可。如果你本地不是linu【版权所有，侵权必究】转载请注明出处：www.tangshuang.netx系统，那么直接在服务器上面操作也行，我【关注微信公众号：wwwtangshuangnet】【未经授权禁止转载】们需要的，是这个密钥对，系统无所谓。

【本文首发于唐霜的博客】著作权归作者所有，禁止商业用途转载。著作权归作者所有，禁止商业用途转载。转载请注明出处：www.tangshuang.net原创内容，盗版必究。

cd ~
ssh-keygen

接下来会让你输入密码。这一点我在上面那篇【版权所有】唐霜 www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】文章没有讲到。这个密码是用来认证当前密钥未经授权，禁止复制转载。【原创内容，转载请注明出处】是不是你的，是客户端系统干的事情。在详细【本文受版权保护】转载请注明出处：www.tangshuang.net解释一下：当你准备使用ssh密钥登陆服务【转载请注明来源】原创内容，盗版必究。器的时候，如果这个密码没有设置，会直接登原创内容，盗版必究。【未经授权禁止转载】陆到服务器上，这样很方便。但是如果一旦你【访问 www.tangshuang.net 获取更多精彩内容】本文作者：唐霜，转载请注明出处。的私钥（本地电脑上的）被盗，那么黑客只需【本文受版权保护】著作权归作者所有，禁止商业用途转载。要使用这个私钥，直接就可以连到你的服务器转载请注明出处：www.tangshuang.net【版权所有，侵权必究】上面。那么怎么办呢？ssh在使用你的私钥【版权所有，侵权必究】【作者：唐霜】之前，再对你的身份进行验证，也就是对私钥【转载请注明来源】未经授权，禁止复制转载。再进行加密。一旦加密后，你下次再使用ss【本文受版权保护】【本文首发于唐霜的博客】h登陆服务器时，会让你输入你对私钥进行加转载请注明出处：www.tangshuang.net【未经授权禁止转载】密时的密码，而这个密码验证是在你本地电脑【访问 www.tangshuang.net 获取更多精彩内容】著作权归作者所有，禁止商业用途转载。上完成的，速度更快，密码也不用在网络上传著作权归作者所有，禁止商业用途转载。原创内容，盗版必究。播，当然也就更安全。说了这么多，我的目的转载请注明出处：www.tangshuang.net【未经授权禁止转载】就是让你设置这个私钥。

【访问 www.tangshuang.net 获取更多精彩内容】未经授权，禁止复制转载。著作权归作者所有，禁止商业用途转载。

设置好私钥之后，系统会自动创建一个.ss未经授权，禁止复制转载。【关注微信公众号：wwwtangshuangnet】h目录。

【转载请注明来源】原创内容，盗版必究。本文作者：唐霜，转载请注明出处。转载请注明出处：www.tangshuang.net

cd .ssh
ls

可以看到有id_rsa和 id_rsa.本文版权归作者所有，未经授权不得转载。【版权所有】唐霜 www.tangshuang.netpub两个文件，第一个是私钥，第二个是公本文作者：唐霜，转载请注明出处。【版权所有】唐霜 www.tangshuang.net钥，公钥可以公开给任何人看。如果你是在服【本文首发于唐霜的博客】【原创内容，转载请注明出处】务器上生成的这两个文件，把它们下载下来。【版权所有】唐霜 www.tangshuang.net【未经授权禁止转载】如果不知道怎么下载，直接用vi打开它的内【本文受版权保护】著作权归作者所有，禁止商业用途转载。容，在你自己的电脑上建立两个文件名相同的原创内容，盗版必究。【关注微信公众号：wwwtangshuangnet】文件，把里面的内容拷贝过来就可以了。一旦【版权所有】唐霜 www.tangshuang.net原创内容，盗版必究。得到这两个文件，就在服务器上把它们删掉。

本文作者：唐霜，转载请注明出处。原创内容，盗版必究。【原创内容，转载请注明出处】【访问 www.tangshuang.net 获取更多精彩内容】

如果你本地是linux系统，把这两个文件【关注微信公众号：wwwtangshuangnet】【本文首发于唐霜的博客】放到你当前家目录的.ssh文件夹下面。在【本文首发于唐霜的博客】【原创不易，请尊重版权】服务器上继续操作。

因为你是希望administrator这转载请注明出处：www.tangshuang.net本文版权归作者所有，未经授权不得转载。个用户登陆上去，所以要把id_rsa.p【版权所有】唐霜 www.tangshuang.net【本文受版权保护】ub这个文件上传到administrat原创内容，盗版必究。本文版权归作者所有，未经授权不得转载。or用户的家目录下的认证文件夹中，或者直【本文首发于唐霜的博客】未经授权，禁止复制转载。接用vi来创建也可以。

vi /home/administrator/.ssh/authorized_keys

把id_rsa.pub文件的内容拷贝进去转载请注明出处：www.tangshuang.net转载请注明出处：www.tangshuang.net，保存退出。

完成上面的操作之后，你就可以实现：1.禁本文作者：唐霜，转载请注明出处。【访问 www.tangshuang.net 获取更多精彩内容】止root通过ssh登陆服务器；2.通过原创内容，盗版必究。著作权归作者所有，禁止商业用途转载。ssh密钥以administrator的【访问 www.tangshuang.net 获取更多精彩内容】著作权归作者所有，禁止商业用途转载。身份登陆服务器。在本地测试一下吧：

未经授权，禁止复制转载。【原创不易，请尊重版权】【未经授权禁止转载】【未经授权禁止转载】原创内容，盗版必究。

ssh administrator@192.168.1.111

输入刚才给密钥加密时用的密码。看看是否已转载请注明出处：www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】经登陆服务器了呢？登陆到服务器上，要善于【访问 www.tangshuang.net 获取更多精彩内容】【本文首发于唐霜的博客】使用sudo命令哦。你所要保管好的，就是【关注微信公众号：wwwtangshuangnet】著作权归作者所有，禁止商业用途转载。你的私钥，如果你想装逼，用一个只有可读权【转载请注明来源】转载请注明出处：www.tangshuang.net限的U盘把私钥和公钥装起来，再装一个pu未经授权，禁止复制转载。【本文受版权保护】tty，走到哪儿都不用怕了，U盘一插，很【关注微信公众号：wwwtangshuangnet】【作者：唐霜】快就能连上服务器。如果你把你的私钥弄丢了本文版权归作者所有，未经授权不得转载。本文版权归作者所有，未经授权不得转载。，那你就完全悲剧了。所以，私钥还是使用多【作者：唐霜】【版权所有】唐霜 www.tangshuang.net种比较安全的方式进行备份吧。

访问安全策略【作者：唐霜】

除了让黑客猜不到你的管理员登陆信息之外，未经授权，禁止复制转载。【访问 www.tangshuang.net 获取更多精彩内容】修改你的服务器对外提供访问的端口，也是一著作权归作者所有，禁止商业用途转载。【未经授权禁止转载】个安全策略。而这个安全，需要用到防火墙，【本文首发于唐霜的博客】原创内容，盗版必究。通过防火墙来控制哪些端口是对外可以访问的【访问 www.tangshuang.net 获取更多精彩内容】原创内容，盗版必究。，哪些端口是仅对局域网可以访问的，哪些端【本文首发于唐霜的博客】【关注微信公众号：wwwtangshuangnet】口是只有本机可以访问的。linux中最常【关注微信公众号：wwwtangshuangnet】【未经授权禁止转载】用的防火墙软件就是iptables，我们转载请注明出处：www.tangshuang.net【未经授权禁止转载】这里就通过iptables作为防火墙案例【原创不易，请尊重版权】【转载请注明来源】进行实操。

iptables的配置规则未经授权，禁止复制转载。

关于iptables，这里有一篇【访问 www.tangshuang.net 获取更多精彩内容】参考文献本文版权归作者所有，未经授权不得转载。，可以去了解。我们这里简单的对iptab【原创内容，转载请注明出处】转载请注明出处：www.tangshuang.netles的配置进行介绍，以完成我们本文要实原创内容，盗版必究。【本文受版权保护】现的访问安全控制。

【原创不易，请尊重版权】【转载请注明来源】【未经授权禁止转载】本文作者：唐霜，转载请注明出处。

我们必须要理解iptables中的一个些【本文首发于唐霜的博客】【未经授权禁止转载】概念。一个请求指令（术语称为“数据包”）【关注微信公众号：wwwtangshuangnet】本文版权归作者所有，未经授权不得转载。，从客户端发出，进入服务器，在服务器中流本文作者：唐霜，转载请注明出处。【版权所有】唐霜 www.tangshuang.net动，再从服务器流出，服务器在接受到这个指【版权所有】唐霜 www.tangshuang.net【版权所有，侵权必究】令那一刻开始，就会对它进行监测，并设置了【原创不易，请尊重版权】转载请注明出处：www.tangshuang.net几个重要的关卡，在这些关卡（术语称为“链原创内容，盗版必究。本文版权归作者所有，未经授权不得转载。”）上，就可以对该指令进行拦截、放行或修【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。改。这些关卡包括（按时间顺序）：PRER【本文受版权保护】【原创不易，请尊重版权】OUTING（路由器）、INPUT（进入未经授权，禁止复制转载。【本文受版权保护】）、FORWARD（转发）、OUTPUT【原创内容，转载请注明出处】【版权所有，侵权必究】（流出、服务器去访问外网时）、POSTR【版权所有】唐霜 www.tangshuang.net【转载请注明来源】OUTING（路由后、服务器去访问外网时本文作者：唐霜，转载请注明出处。【未经授权禁止转载】）。实际上，一个指令流动不一定非得经过这转载请注明出处：www.tangshuang.net【版权所有，侵权必究】些关卡，大部分情况下不需要经过两个路由关【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。卡，当我们的服务器作为代理服务器的时候，未经授权，禁止复制转载。著作权归作者所有，禁止商业用途转载。就会要经过路由关卡来处理数据。

我们举一个例子来说明一个指令的情况：在自未经授权，禁止复制转载。转载请注明出处：www.tangshuang.net己的电脑上ping服务器和在服务器上pi【访问 www.tangshuang.net 获取更多精彩内容】【本文首发于唐霜的博客】ng自己的电脑。

转载请注明出处：www.tangshuang.net【原创内容，转载请注明出处】未经授权，禁止复制转载。著作权归作者所有，禁止商业用途转载。未经授权，禁止复制转载。

当我们ping服务器的时候，指令由我们客本文版权归作者所有，未经授权不得转载。著作权归作者所有，禁止商业用途转载。户端发出，达到服务器的时候，就开始受防火【原创内容，转载请注明出处】著作权归作者所有，禁止商业用途转载。墙监控，我们为了禁止外部用户ping通我原创内容，盗版必究。原创内容，盗版必究。们的服务器，我们在INPUT这个关卡上增【原创不易，请尊重版权】著作权归作者所有，禁止商业用途转载。加一个规则：

未经授权，禁止复制转载。转载请注明出处：www.tangshuang.net【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。【访问 www.tangshuang.net 获取更多精彩内容】

-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

防火墙规则被保存在几张（四张）表中，其中【本文受版权保护】【作者：唐霜】我们最常用到的是nat、filter这两【原创内容，转载请注明出处】【关注微信公众号：wwwtangshuangnet】张表，在指令到达每一个关卡的时候，防火墙原创内容，盗版必究。【本文首发于唐霜的博客】就去从表里面找出该关卡对应的规则序列，从【本文首发于唐霜的博客】未经授权，禁止复制转载。上往下执行（也就是说前面的规则优先级更高【作者：唐霜】【版权所有】唐霜 www.tangshuang.net，在满足前面的规则之后，后面的规则才能生效），选择用那张表，用-t tablena本文作者：唐霜，转载请注明出处。【原创不易，请尊重版权】me来确定，例如：

-t filter -A INPUT -p tcp --dport 80 -j ACCEPT

意思就是在filter表中增加一条规则，原创内容，盗版必究。本文版权归作者所有，未经授权不得转载。这条规则作用在INPUT这个关卡上。后面本文版权归作者所有，未经授权不得转载。原创内容，盗版必究。蓝色字就是规则的内容。由于防火墙默认使用【版权所有，侵权必究】【原创内容，转载请注明出处】的是filter表，所以当写防火墙规则的【原创不易，请尊重版权】【转载请注明来源】时候，如果不存在-t，则默认表示往fil【本文首发于唐霜的博客】转载请注明出处：www.tangshuang.netter这个表增加或删除规则。理解ipta转载请注明出处：www.tangshuang.net【版权所有，侵权必究】bles，就必须理解这“四表五链”的概念【作者：唐霜】本文版权归作者所有，未经授权不得转载。，理解之后，再深入去研究规则即可。

转载请注明出处：www.tangshuang.net原创内容，盗版必究。【访问 www.tangshuang.net 获取更多精彩内容】原创内容，盗版必究。本文作者：唐霜，转载请注明出处。

关于规则的部分，就不予多阐述，在参考文献著作权归作者所有，禁止商业用途转载。【本文受版权保护】中有了比较多的解释。要强调的就是，必须认【转载请注明来源】【访问 www.tangshuang.net 获取更多精彩内容】真思考规则的先后顺序，保证这些先后顺序最【未经授权禁止转载】【未经授权禁止转载】终实现的防火墙规则是你想要的结果。

参考文献【访问 www.tangshuang.net 获取更多精彩内容】著作权归作者所有，禁止商业用途转载。规则执行顺序未经授权，禁止复制转载。

【作者：唐霜】【访问 www.tangshuang.net 获取更多精彩内容】【原创不易，请尊重版权】【本文受版权保护】

控制外网公开访问规则著作权归作者所有，禁止商业用途转载。

我们本文的重点是服务器安全，因此，重点还本文作者：唐霜，转载请注明出处。【本文首发于唐霜的博客】是来讨论防火墙中各个关卡的一些安全性规则转载请注明出处：www.tangshuang.net转载请注明出处：www.tangshuang.net。

【未经授权禁止转载】【转载请注明来源】【关注微信公众号：wwwtangshuangnet】【作者：唐霜】【本文受版权保护】

【访问 www.tangshuang.net 获取更多精彩内容】未经授权，禁止复制转载。【原创不易，请尊重版权】【作者：唐霜】

就像我上面展示出来的iptables中一原创内容，盗版必究。【作者：唐霜】样，我们仅允许22端口和80端口可以被外【原创不易，请尊重版权】【关注微信公众号：wwwtangshuangnet】部访问。22端口是提供ssh登陆的，80【作者：唐霜】【版权所有】唐霜 www.tangshuang.net端口是提供web访问的。如果你的服务器不【版权所有，侵权必究】【转载请注明来源】需要其他的服务，比如代理、转发，或者对外本文作者：唐霜，转载请注明出处。【访问 www.tangshuang.net 获取更多精彩内容】提供mysql服务或某些图片服务等等，就转载请注明出处：www.tangshuang.net本文作者：唐霜，转载请注明出处。可以只提供这两个端口可以对外访问。

为了禁止别人ping通我们的服务器？上面【本文受版权保护】【访问 www.tangshuang.net 获取更多精彩内容】好像已经给出了规则。把那两条规则加到DR【访问 www.tangshuang.net 获取更多精彩内容】著作权归作者所有，禁止商业用途转载。OP前面。

修改默认端口著作权归作者所有，禁止商业用途转载。

vi /etc/ssh/sshd_config

找到Port 22，去掉前面的#，把22【原创内容，转载请注明出处】【关注微信公众号：wwwtangshuangnet】改为其他端口，比如1452。再重启ssh本文作者：唐霜，转载请注明出处。【原创不易，请尊重版权】d服务。下次你在连接到服务器的时候，记住【原创不易，请尊重版权】著作权归作者所有，禁止商业用途转载。使用1452端口去连接，而不是原来的22著作权归作者所有，禁止商业用途转载。【访问 www.tangshuang.net 获取更多精彩内容】。

【本文首发于唐霜的博客】【未经授权禁止转载】【原创内容，转载请注明出处】转载请注明出处：www.tangshuang.net【作者：唐霜】

最后是我的/etc/sysconfig/【原创内容，转载请注明出处】【本文受版权保护】iptables：

# Generated by iptables-save v1.4.7 on Sun Dec 20 16:02:52 2015
*filter:INPUT DROP [0:0]:FORWARD DROP [0:0]
:OUTPUT ACCEPT [55:5672]
-A INPUT -i lo -j ACCEPT
# 允许内部通信，本机访问本机，比如访问localhost
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 接收到的数据包是本机回应后的，或者由于客户端接收到本机回应产生的新包，也就是说该数据包是服务器认证过的包
-A INPUT -p tcp -m tcp --dport 1452 -j ACCEPT
# 允许1452端口被外网访问，也就是ssh连接，如果你调整了ssh端口，那么这里必须修改，否则你就悲剧了
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# 允许80端口被外网访问
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
# 允许3306端口被外网中的某个网段访问，这个外网也包括局域网，凡是非本机的，在这里都称为外网，只有在你希望通过外网使用本服务器的mysql时，才使用该规则，否则，如果在本机使用mysql其实可以不需要，只需要使用localhost作为连接地址即可
-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
# 上面两条ping不通
-A INPUT -j DROP
# 不允许其他访问，由于执行顺序是从上往下的，当上面的规则都不满足时，这一条才会执行
-A FORWARD -j DROP
# 不允许转发
COMMIT
# Completed on Sun Dec 20 16:02:52 2015

权限安全策略【关注微信公众号：wwwtangshuangnet】

我们在服务器上面运行web环境，主要有n【原创内容，转载请注明出处】转载请注明出处：www.tangshuang.netginx、apache、mysql、ph【作者：唐霜】本文作者：唐霜，转载请注明出处。p、redis、php-fpm等几种常用本文作者：唐霜，转载请注明出处。【本文受版权保护】的环境。但是，如果我们安装这些环境的时候【关注微信公众号：wwwtangshuangnet】【本文受版权保护】，没有注意安全性问题，可能直接就用roo著作权归作者所有，禁止商业用途转载。未经授权，禁止复制转载。t去运行这些环境软件了，这个后果比较严重著作权归作者所有，禁止商业用途转载。【本文受版权保护】，我曾经就因为redis漏洞，导致服务器【版权所有】唐霜 www.tangshuang.net转载请注明出处：www.tangshuang.net被黑，有一个木马进程无限制的重生，害得我转载请注明出处：www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】只能重装系统。所以，我们尽可能的在权限问转载请注明出处：www.tangshuang.net【原创内容，转载请注明出处】题上事先处理好。

原创内容，盗版必究。未经授权，禁止复制转载。原创内容，盗版必究。【原创不易，请尊重版权】

用户和用户组【访问 www.tangshuang.net 获取更多精彩内容】

【访问 www.tangshuang.net 获取更多精彩内容】【作者：唐霜】本文作者：唐霜，转载请注明出处。转载请注明出处：www.tangshuang.net转载请注明出处：www.tangshuang.net

首先，我们可以大概看下自己服务器上面运行原创内容，盗版必究。【版权所有】唐霜 www.tangshuang.net的一些软件哪些是提供给外部使用的，或者通转载请注明出处：www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】过外部调用可以在环境内使用的。其次，我们【作者：唐霜】本文版权归作者所有，未经授权不得转载。要为这些软件创建独立的，或者共用权限有限【版权所有】唐霜 www.tangshuang.net【未经授权禁止转载】的用户。比如nginx、apache、m本文版权归作者所有，未经授权不得转载。【本文受版权保护】ysql都用一个www用户去运行，由于前【版权所有，侵权必究】【本文首发于唐霜的博客】面我们已经只允许administrato未经授权，禁止复制转载。未经授权，禁止复制转载。r用户通过ssh登陆了，所以这个用户是无本文版权归作者所有，未经授权不得转载。著作权归作者所有，禁止商业用途转载。法登陆的。而且，由于这个用户不是root【本文首发于唐霜的博客】【转载请注明来源】用户，它无法对自己权限范围内的文件（夹）本文作者：唐霜，转载请注明出处。本文版权归作者所有，未经授权不得转载。进行读写操作，比如它无法去修改bin下的本文版权归作者所有，未经授权不得转载。本文版权归作者所有，未经授权不得转载。软件，它也无法在系统核心文件夹中运行一些【本文首发于唐霜的博客】【访问 www.tangshuang.net 获取更多精彩内容】程序。

【作者：唐霜】本文版权归作者所有，未经授权不得转载。本文版权归作者所有，未经授权不得转载。

在nginx、apache、mysql的【关注微信公众号：wwwtangshuangnet】本文版权归作者所有，未经授权不得转载。配置文件中可以对此进行配置。在apach【本文首发于唐霜的博客】【访问 www.tangshuang.net 获取更多精彩内容】e的配置文件中还可以配置php能够有权限转载请注明出处：www.tangshuang.net【转载请注明来源】进行读写的目录，除了这些目录，php无法转载请注明出处：www.tangshuang.net原创内容，盗版必究。在其他目录中进行读写。这样，即使黑客黑入【未经授权禁止转载】【版权所有，侵权必究】了你的网站系统，也仅仅只能对你的网站程序【转载请注明来源】转载请注明出处：www.tangshuang.net和数据库做手脚，无法对服务器做坏事。

文件及文件夹的权限本文版权归作者所有，未经授权不得转载。

原创内容，盗版必究。【关注微信公众号：wwwtangshuangnet】本文版权归作者所有，未经授权不得转载。转载请注明出处：www.tangshuang.net【转载请注明来源】

网站程序仅可以对规定目录中的文件进行读写【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。。这涉及到两个操作，一个是chown，一原创内容，盗版必究。【版权所有】唐霜 www.tangshuang.net个是chmod。chown让用户对某些文【版权所有，侵权必究】未经授权，禁止复制转载。件及文件夹有所有权，可以进行读写。chm【版权所有】唐霜 www.tangshuang.net原创内容，盗版必究。od修改文件文件夹的读写和可执行权限，所【未经授权禁止转载】【关注微信公众号：wwwtangshuangnet】以一般情况下，网站文件和目录都最好保持7【作者：唐霜】【版权所有，侵权必究】55的权限。

【作者：唐霜】转载请注明出处：www.tangshuang.net本文作者：唐霜，转载请注明出处。

mysql的root用户拥有最高权限，可【版权所有，侵权必究】【原创不易，请尊重版权】以对数据库随意修改和删除，因此，在网站运著作权归作者所有，禁止商业用途转载。【原创不易，请尊重版权】行上线时，最好创建一个只能对某些数据库有【原创不易，请尊重版权】【原创内容，转载请注明出处】部分权限的数据库用户，这个用户能执行增删【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】改查，满足网站数据操作的需要，但是不能对著作权归作者所有，禁止商业用途转载。【版权所有】唐霜 www.tangshuang.net数据库进行管理。这样也可以降低数据库如果著作权归作者所有，禁止商业用途转载。【本文首发于唐霜的博客】被入侵可能带来的风险。

结语【转载请注明来源】

【原创不易，请尊重版权】未经授权，禁止复制转载。【本文首发于唐霜的博客】原创内容，盗版必究。

总结起来，核心知识点就包括：【关注微信公众号：wwwtangshuangnet】

【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】【转载请注明来源】

账号及ssh【原创内容，转载请注明出处】

【访问 www.tangshuang.net 获取更多精彩内容】

【转载请注明来源】

【原创内容，转载请注明出处】

iptables【作者：唐霜】

著作权归作者所有，禁止商业用途转载。

本文作者：唐霜，转载请注明出处。

转载请注明出处：www.tangshuang.net

写了这么多，归结起来其实就一句话，请诸君【版权所有】唐霜 www.tangshuang.net【未经授权禁止转载】重视自己的服务器安全。当然，本文仅仅提供转载请注明出处：www.tangshuang.net【作者：唐霜】了比较简单的安全策略，像服务器安全监测这著作权归作者所有，禁止商业用途转载。【原创内容，转载请注明出处】些知识，我也未曾接触，还需要在后期学习中【本文受版权保护】本文版权归作者所有，未经授权不得转载。不断积累。

【原创不易，请尊重版权】【本文首发于唐霜的博客】转载请注明出处：www.tangshuang.net【作者：唐霜】

【版权所有】唐霜 www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】【本文受版权保护】【转载请注明来源】原创内容，盗版必究。【关注微信公众号：wwwtangshuangnet】【作者：唐霜】【访问 www.tangshuang.net 获取更多精彩内容】本文作者：唐霜，转载请注明出处。【转载请注明来源】【原创不易，请尊重版权】【版权所有】唐霜 www.tangshuang.net转载请注明出处：www.tangshuang.net【版权所有】唐霜 www.tangshuang.net本文版权归作者所有，未经授权不得转载。原创内容，盗版必究。转载请注明出处：www.tangshuang.net本文版权归作者所有，未经授权不得转载。【原创不易，请尊重版权】【本文受版权保护】【原创不易，请尊重版权】转载请注明出处：www.tangshuang.net【本文首发于唐霜的博客】未经授权，禁止复制转载。本文版权归作者所有，未经授权不得转载。【版权所有】唐霜 www.tangshuang.net【未经授权禁止转载】本文作者：唐霜，转载请注明出处。未经授权，禁止复制转载。未经授权，禁止复制转载。【原创内容，转载请注明出处】本文版权归作者所有，未经授权不得转载。本文作者：唐霜，转载请注明出处。原创内容，盗版必究。未经授权，禁止复制转载。【版权所有，侵权必究】【原创不易，请尊重版权】原创内容，盗版必究。本文作者：唐霜，转载请注明出处。【本文受版权保护】著作权归作者所有，禁止商业用途转载。著作权归作者所有，禁止商业用途转载。转载请注明出处：www.tangshuang.net【访问 www.tangshuang.net 获取更多精彩内容】【原创内容，转载请注明出处】本文作者：唐霜，转载请注明出处。原创内容，盗版必究。著作权归作者所有，禁止商业用途转载。【未经授权禁止转载】著作权归作者所有，禁止商业用途转载。本文版权归作者所有，未经授权不得转载。【未经授权禁止转载】【原创内容，转载请注明出处】转载请注明出处：www.tangshuang.net【本文首发于唐霜的博客】【原创内容，转载请注明出处】【关注微信公众号：wwwtangshuangnet】【本文受版权保护】未经授权，禁止复制转载。本文作者：唐霜，转载请注明出处。原创内容，盗版必究。【转载请注明来源】【原创内容，转载请注明出处】转载请注明出处：www.tangshuang.net

2016-01-08 7315

唐霜

网站服务器安全构建策略基础