时代在变,人也在变,在机器智能人还没完全发展的今天,我们先“智能点”,懒点!回想那日日夜夜为了系统安全,网站安全,网站速度,服务器放在那里,而想白了头,做穿了椅子。。。。。其实大家不用各自为战,所有安全人员团结起来,把所有的技术,所有的资源同一起来,组成安全联盟,一次性解决所有的安全为题,什么注入,ddos,溢出,都是浮云。。。
最近忙于网站开发,好久没写文章了,可是最近看到国内的dnspod和安全宝合作了,很是高兴,终于出现了一个免费的安全联盟。。。其实如有大家有资源带宽和机子可以搭建一个安全小圈子,把安全人员,开发人员分开来,统一管理,入伙自己的安全小圈圈,下面就是对安全宝构架的技术猜测,支持安全宝,支持开源世界,linux/bsd万岁,nginx万岁!!
以上是一个简单的防御模型,下面讲解下各种功能:
1,总部核心调度节点负责,修改DNS服务器记录,根据不同的ip geoip不同的后台cdn安全节点,负责用户的注册,添加网站真实IP,并把最后的设置同步到各个地方节点的nginx 上
2,地方节点nginx 负责网站(可以多IPupstream 10秒超时 haship)的方向代理,nginx缓存,加上naxsi 开源可学习型web防护墙(用于对付sql注入,cc,xss攻击等应用层web防护) 加上最近才出来的nginx_pagespeed模块进行智能优化压缩网页。。。
3,防火墙用于最基础的网络ddos防御,iptables防御 ipset超时block控制,并发,tcpflags 状态控制
总结起来:对于普通用户估计只用到了nginx 方向代理 开源nginx_waf naxsi防护墙 netfilter防护墙或者购买的ciso华为专业防火墙 nginx缓存cdn 以及对于nginx还处于测试阶段的pagespeed模块。。。很简单,不过对付一般的黑客,ddos还是够的!
好了,光有以上防御我们就安全了吗?差远了!!
1,原始服务器和安全宝的cnd安全节点估计没有启用高级溢出防御系统
2,网站数据完整性安全和备份功能没有,或者备份了没有加密
3,是否真的能防御头疼的sql注入。。。没有采取根本的防御措施
4,基本上只是对站点进行了防御,我们的ssh,系统安全谁去管
5,所在服务器的xen,kvm环境谁去管,假如有要求保密的源码,人家cp一份xen镜像,挂在在别的系统上,秘密全无!!!!
6,黑客入侵的行为分析,是个空白,安全宝无法帮我们开启MAC强制访问安全
7,没有任何网络入侵检测系统监控,发生网络入侵只能被动的去防御,我们难道要24小时监控自己的网站!!
8,我们的原始服务器安全宝没有给我们优化。。。
怎么办呢!!!!!!!!!!
1,在cdn节点(如果cdn不安全了,人家直接修改cnd中的缓存!!我们的网站不是躺着中枪了啊)还有原始服务器开启高级安全防御系统grsecurity 打入pax防溢出加固补丁,使用paxctl -PEMXSR最高安全加固nginx apache sshd等,防止未知漏洞,或者直接采用openbsd,从源码 libc编译库防止溢出漏洞。反正一般的xen kvm 站点根本不需要那么高的性能,带宽能上10M谢天谢地了!
2,对网站或者后天服务器自定义md5 sha1文件签名,或者使用ade Tripwire等。同事定期备份所有重要数据
3,不要使用msql postgresql数据库,直接采用NOSql构架,redis彻底防御sql注入,省的php过滤这个过滤那个,本来php字符性能就低!抛弃apache,充分研究透nginx if allow dengy lua安全应用,构建比nasix更严格的访问控制,免费的应用层防火墙哦,比iptables-l7lay ,等方便多了,省的去研究编写特征吗,mygod!!什么流控,p2p,迅雷特诊吗头大了好多年了!!
4,请查看服务器最高安全防御策略选择与差异,分层纵深防御,一切黑客入侵都是浮云 等文章对系统进行基本的伪装加固
5,启用lvm加密卷或者ecrypt文件系统,对重要数据存放分区经行加密,非常有必要!
6,没有必要请使用debian/ubuntu系统,可以大规模定制所有的MAC安全,内核等,grsecurty tomoyo apparom都是比selinux容易学习的MAC,虽然说是基与文件路径的不安全,可是谁又能保证selinux的标签不会被更改呢!!定制精简内核也很重要关闭所有的无用驱动,模块,控制内核在1.8M以内!
7,如果是单独的有专用服务器请开启科莱全网分析监控,或者suricata snort等老一代IDS/IPS
最起码你要开启portsentry监控下。。看看谁在黑你,好采取相应的防御方法
8,系统的sysctl优化,编译优化,就不谈了,老生长谈的。。。
9,注意一点就是,定制内核的时候不要光定制一个内核版本,应该是2+1 一个原始发行版内核,防止意外 一个是3.2.44稳定版 一个是3.9最新版,防止重大的内核漏洞,切换用!!
最后就是对系统的测试了,请使用所有web安测试软件,攻击软件,360等。。。最少10种把攻击入侵自己的网站!(小心使用DDOS别误杀了别人) 好了,技术无极限,生命有尽头,希望大家多多交流,共同进步
相关安全宝构架技术猜测与高级网络安全防御