淺談基于linux系統的網站防護方法

彭駿馳（國網湖南省電力公司長沙供電分公司，湖南長沙410000）

淺談基于linux系統的網站防護方法

彭駿馳（國網湖南省電力公司長沙供電分公司，湖南長沙410000）

本文從目前的web網站防護所面臨的安全問題為起點，闡明了當前網站防護的重要性，并總結了一套簡易、可行的網站防護方法，具有相當的普遍性，有借鑒和參考意義。

網站防護；安全加固

1 前言

隨著企業信息化建設的進一步發展，業務應用與管理越來越依賴于通過訪問web網站的方式進行交互。而對于部分已經投入使用的業務系統web網站，由于開發、運行時間較長，不太可能投入大量的資金和人力去重新開發或者做大規模的代碼調整。目前基于linux操作系統的web應用，其系統運行的可靠性、可用性一般高于基于windows操作系統的web應用，公司在運的業務應用系統也是基本部署在linux操作系統服務器上，因此，如何在保障既有業務系統正常運行的前提下對基于linux系統的web網站進行有效的安全防護成為本文關注的一個焦點。

2 主機安全加固

對linux操作系統進行安全加固，主要是對系統中存在的補丁漏洞和配置漏洞，進行加固，以保障系統的安全性，并根據訪問需求，開啟主機防火墻，防止不必要的服務請求進入網站系統，減少被攻擊的可能性。目前對主機操作系統的信息安全加固主要有以下幾個方面。

2.1 系統賬戶優化

清理/etc/passwd文件，刪除不需要的系統默認賬戶及測試賬戶，對于不需要登錄的用戶禁止登錄shell。修改/etc/login. defs文件，設置合適的口令策略，包括最小口令長度、口令使用期限等。編輯/etc/padm.d/passwd文件，啟用口令復雜度策略，杜絕賬號弱口令，增強賬戶安全性。編輯/etc/profile文件，設置登錄超時時間，限制遠程登錄賬戶的會話時間。

2.2 限制重要目錄和文件的權限

對于linux操作系統的關鍵目錄及文件進行權限限制，對于etc、bin、dev、sbin等關鍵目錄取消普通用戶讀寫權限，對于/etc/passwd、/etc/inetd.conf、/etc/services等關鍵文件設置不可修改屬性，防止未經許可添加和者刪除用戶或服務。對普通用戶的home目錄權限進行分開管理，避免沒有授權的訪問，防止旁注攻擊。

2.3 關閉非必須要的網絡服務

編輯/etc/rc.d目錄下相應啟動級別的服務啟動文件，關閉多余服務。或者通過chkconfig命令對系統服務進行配置，僅開放業務應用系統需要對外開放的網絡服務。如無實際業務需要，關閉isdn、portmap、sendmail、nefts、vsftp等默認開啟的不安全的系統服務。

2.4 增強openssh服務安全配置

Openssh是linux操作系統主流的遠程登錄軟件，系統管理員通過ssh協議遠程登錄主機，對系統進行維護和配置，因此對該服務的安全管控至關重要。通過編輯配置文件/etc/ssh/ sshd_config，可以修改ssh協議的默認使用端口為其他自定義端口，禁用超級用戶root遠程登錄，并設置口令最大嘗試次數，防止暴力破解用戶口令。

2.5 設置網絡訪問控制

利用linux系統自帶的iptables防火墻制定訪問規則，能有效控制和緩解各類未經授權的web訪問，減少被攻擊的可能性。通過限制由主機發起的數據包狀態，僅允許主機主動訪問安全的IP地址，有效杜絕反向木馬攻擊，保障系統的安全性。

3 部署網頁防篡改

業務系統web網站非常容易成為攻擊的首要目標，其中對網站的網頁內容的篡改對用戶產生的負面影響非常嚴重，尤其是面對社會公眾的系統，有可能產生企業形象受損、信息表達失誤、甚至可能導致機密信息泄露等安全事件。目前常用的網站防篡改方法：①通過業務系統實現頁面防篡改及自動恢復功能，如數字水印技術等。②部署專業的防篡改軟件，如天融信、iguard等，避免惡意篡改網站頁面。上述方法均需要投入大量的資金和人力對業務應用系統代碼進行調整或者采購安全設備部署防篡改系統，公司部分老舊系統按上述方式實施信息安全防護難度較大。

為了確保業務信息系統安全穩定運行，保證信息安全無死角，公司通過編制shell腳本對于部署在linux操作系統的web網站實施了簡易防護：通過使用chattr+i命令，對web網站文件夾及文件設置不可修改屬性，確保原有網頁頁面內容不會因為未授權的攻擊發生改變、通過腳本循環運行findmmin-2-typef命令，每2s對網站文件夾下的新增或者被改寫的文件進行查找，對發現的不安全的新增網頁及時進行刪除，對被改寫的網頁文件通過使用備份文件自動進行恢復。通過shell腳本自動監控，簡易實現了網頁防篡改功能，公司在確保業務系統穩定運行的同時，達到了安全防護的目的。

4 waf防火墻防護

公司老舊業務系統普遍存在web應用攻擊防護能力不足的問題，如存在未對輸入數據進行檢查過濾等缺陷，極易受到sql注入攻擊或者xss跨站攻擊等。通過將系統接入到waf防火墻后面，能大幅度增加系統對于web攻擊的防護能力。通過waf防火墻對數據包的解析，能有效阻止非授權的web訪問、防御sql注入、跨站請求偽造、文件包含、數據竊取、防護惡意代碼等攻擊，并能通過waf防火墻的升級改造，進一步提升web應用防護能力。

5 結語

信息安全在公司的信息化建設中是一個永恒的課題，涉及技術、管理、運維、使用等多個方面，既包括信息系統本身的問題，也有物理和邏輯的方面。在目前信息化建設的浪潮中，我們應該更加重視業務信息系統的安全威脅管理，實現信息系統可研、設計、建設、運維和下線全周期的信息安全管理，為信息系統提供扎實的安全服務，降低信息安全威脅。這是公司面對21世紀信息化發展的迫切需要。

TP316.81

A

2095-2066（2016）35-0022-01

2016-12-2

彭駿馳（1979-），男，工程師，碩士，主要從事信息運維工作。