Linux系統安全知識--防范黑客攻擊

文章主要是針對Linux主機談的。

一、堡壘往往是從內部被攻破的，小心你身邊的人。

經驗表明，絕大多數的網絡攻擊，來自同事、網友和主機用戶。 這些人能直接或者間接地進入你的主機系統，甚至有可能知道你的密碼。小小的疏漏，都會造成致命的錯誤。我曾經給我同事演示盜取他論壇密碼，方法很簡單，INCLUDE，然後ECHO，變量值就顯示出來了，變量值裡就存有密碼，只有幾行代碼。我告訴他把密碼直接寫到論壇源碼裡去，這樣就沒事了。換個角度，你不是網管，只是主機上的用戶，網管一個小小的失誤，很可能會毀掉你的網站。

二、經常翻看服務器日志。

日志裡有各種訪問信息，通過分析日志文件，你很容易發現試圖進入你管理後台或者試圖探測主機的人。11月初的時候，以為學校的小路由器總斷線，我改用服務器代理上網，用的是紅帽子9。服務器運行不到一個月，我翻看了一下日志，發現至少有五個國家和地區的IP試圖探測我的系統，有美國、韓國、日本、台灣、印度。於是我做了IPTABLES，對那幾個IP網段做了屏蔽，倒是安靜了一些日子，服務器上只產生了很少的日志信息。後來我發現，試圖探測系統的IP有不少是國內的，屏蔽IP顯然不是什麼好辦法，好好做做IPTABLES比什麼都強。舉個例子，我服務器上的SSH和WEBMIN服務限定為只有葫蘆島鐵通的IP才可以訪問，這樣很容易查到試圖入侵系統的黑客。說到翻看日志，我居然發現有網絡監控部門的訪問記錄，勸大家以後開網站小心點，別以為別人不知道你做了啥~

三、別相信法律武器

如果你是政府網站的網管，你大可不必擔心別人黑你，一般人他不敢。多數情況下，別人黑了你，你都沒有辦法。就算你有足夠證據，也未必會得到法律的有效保護，更何況你的網站沒有注冊登記，被人黑了也就黑了，真是沒處告去。所以安全防護還要靠你自己。

四、我的網站安全策略。

現在大部分的網站，尤其是單位和個人網站，都是用CMS做的。CMS一般都有漏洞，包括論壇在內，這是不可避免的，腳本對數據過濾不嚴就會產生SQL注入漏洞，你的數據庫內容很可能被篡改。我是這麼做的。

1、禁止FTP登陸主機，這麼做很不方便，因為FTP空間經常使用。

2、把CMS源碼文件OWNER設成ROOT，其實很簡單，登陸超級用戶後，拷貝一下目錄就可以了。

3、改源碼。因為CMS不會反復打開後台數據庫，打開數據庫的指令通常只有幾條（多數時候是兩條，前台源碼裡一條，後台源碼裡一條），過濾一下，很容易找到相應的腳本行。

4、ZEND優化類似編譯，實際上它還有源碼加密的功效，這樣隱藏在源碼裡的數據庫密碼就不會露出來了。

5、一個數據庫用兩個用戶名打開。mysql的權限管理可以到字段。添在你源碼裡的打開數據庫的那個用戶，權限盡可能降低，而另一個管理用的用戶名，則擁有對數據庫的全部權限。權限設好了，就算把管理密碼貼到大街上，別人也奈何不了你。

6、該數據庫原始文件權限，SU後拷貝一下目錄，這樣即使是數據庫管理員，也黑不了你的網站~一般來說是不用這麼做的。

7、物理上的安全措施，媒體資料、數據庫、網站前台、後台分別放在不同服務器上。這麼做有點BT了，不過安全沒的說，除非關鍵系統，否則沒必要搞這麼嚴格。什麼是關鍵系統呢？不只是國防、經濟建設、金融等等系統才是重要系統，有一定規模的網站都屬於關鍵系統，安全漏洞可能使數年心血毀於一旦。

五、我的具體做法

這兩個月以來，我做了兩個網站。一個是學校的www.lnjxgx.cn，因為下學期要換別人做，現在已經廢棄了，開學就要刪掉了。我把數據庫的權限設成“選擇”，同時屏蔽了FTP主機用戶。除非管理員，不然沒人能黑掉那個網站（我現在是唯一的管理員）。當然，數據庫不可寫，APACHE要報錯，我取消了APACHE和PHP的報錯功能。

第二個網站是放假以後做的www.y768.com/mil，一個小小的音樂網站。只有大約1000首歌曲。別看它小，功能卻很強大，我一個人整理資料，一天至少可以放一百張專集（大約一千多首歌曲）上去，CMS功能還是相當強大的。同樣，我把數據庫權限設成了“選擇”，對個別的表，則放開權限，比如留言板、用戶登陸對應的三個表，這麼做最壞的情況是留言被刪掉，網站的內容是無法更改的。後台我剝離出來，放到家裡服務器上。

開始的時候，我在學校主機上設了個只有葫蘆島鐵通寬帶用戶才能登陸的遠程MYSQL用戶，用來管理網站數據庫，後台部分剝離開來放到我家裡服務器上，後來覺得沒什麼必要，我改在家裡整理資料，然後用MYSQL管理軟件上傳數據，效率是一樣的。我家有個淘汰的K6-2，做的Linux RH9服務器。即便如此，我還是經常做數據備份。

說句不太中聽的話，被黑的網站，就跟那“豆腐渣”工程一樣，光注重外表，金玉其外，敗絮其中。安全防護比外觀更重要。

嘿嘿，看到此貼的黑客朋友，你還有興趣黑我麼？黑客技術應該用於正途，你黑別人是犯法的事，又沒有人給你工錢；但反過來你把你的技術用在安全防護上，卻可以給你自己創造利益。

更多內容請看Linux安全 Linux安全 Linux安全專題，或