彭駿馳（國網(wǎng)湖南省電力公司長沙供電分公司，湖南長沙410000）

淺談基于linux系統(tǒng)的網(wǎng)站防護方法

彭駿馳（國網(wǎng)湖南省電力公司長沙供電分公司，湖南長沙410000）

本文從目前的web網(wǎng)站防護所面臨的安全問題為起點，闡明了當(dāng)前網(wǎng)站防護的重要性，并總結(jié)了一套簡易、可行的網(wǎng)站防護方法，具有相當(dāng)?shù)钠毡樾裕薪梃b和參考意義。

網(wǎng)站防護；安全加固

1 前言

隨著企業(yè)信息化建設(shè)的進一步發(fā)展，業(yè)務(wù)應(yīng)用與管理越來越依賴于通過訪問web網(wǎng)站的方式進行交互。而對于部分已經(jīng)投入使用的業(yè)務(wù)系統(tǒng)web網(wǎng)站，由于開發(fā)、運行時間較長，不太可能投入大量的資金和人力去重新開發(fā)或者做大規(guī)模的代碼調(diào)整。目前基于linux操作系統(tǒng)的web應(yīng)用，其系統(tǒng)運行的可靠性、可用性一般高于基于windows操作系統(tǒng)的web應(yīng)用，公司在運的業(yè)務(wù)應(yīng)用系統(tǒng)也是基本部署在linux操作系統(tǒng)服務(wù)器上，因此，如何在保障既有業(yè)務(wù)系統(tǒng)正常運行的前提下對基于linux系統(tǒng)的web網(wǎng)站進行有效的安全防護成為本文關(guān)注的一個焦點。

2 主機安全加固

對linux操作系統(tǒng)進行安全加固，主要是對系統(tǒng)中存在的補丁漏洞和配置漏洞，進行加固，以保障系統(tǒng)的安全性，并根據(jù)訪問需求，開啟主機防火墻，防止不必要的服務(wù)請求進入網(wǎng)站系統(tǒng)，減少被攻擊的可能性。目前對主機操作系統(tǒng)的信息安全加固主要有以下幾個方面。

2.1 系統(tǒng)賬戶優(yōu)化

清理/etc/passwd文件，刪除不需要的系統(tǒng)默認賬戶及測試賬戶，對于不需要登錄的用戶禁止登錄shell。修改/etc/login. defs文件，設(shè)置合適的口令策略，包括最小口令長度、口令使用期限等。編輯/etc/padm.d/passwd文件，啟用口令復(fù)雜度策略，杜絕賬號弱口令，增強賬戶安全性。編輯/etc/profile文件，設(shè)置登錄超時時間，限制遠程登錄賬戶的會話時間。

2.2 限制重要目錄和文件的權(quán)限

對于linux操作系統(tǒng)的關(guān)鍵目錄及文件進行權(quán)限限制，對于etc、bin、dev、sbin等關(guān)鍵目錄取消普通用戶讀寫權(quán)限，對于/etc/passwd、/etc/inetd.conf、/etc/services等關(guān)鍵文件設(shè)置不可修改屬性，防止未經(jīng)許可添加和者刪除用戶或服務(wù)。對普通用戶的home目錄權(quán)限進行分開管理，避免沒有授權(quán)的訪問，防止旁注攻擊。

2.3 關(guān)閉非必須要的網(wǎng)絡(luò)服務(wù)

編輯/etc/rc.d目錄下相應(yīng)啟動級別的服務(wù)啟動文件，關(guān)閉多余服務(wù)?；蛘咄ㄟ^chkconfig命令對系統(tǒng)服務(wù)進行配置，僅開放業(yè)務(wù)應(yīng)用系統(tǒng)需要對外開放的網(wǎng)絡(luò)服務(wù)。如無實際業(yè)務(wù)需要，關(guān)閉isdn、portmap、sendmail、nefts、vsftp等默認開啟的不安全的系統(tǒng)服務(wù)。

2.4 增強openssh服務(wù)安全配置

Openssh是linux操作系統(tǒng)主流的遠程登錄軟件，系統(tǒng)管理員通過ssh協(xié)議遠程登錄主機，對系統(tǒng)進行維護和配置，因此對該服務(wù)的安全管控至關(guān)重要。通過編輯配置文件/etc/ssh/ sshd_config，可以修改ssh協(xié)議的默認使用端口為其他自定義端口，禁用超級用戶root遠程登錄，并設(shè)置口令最大嘗試次數(shù)，防止暴力破解用戶口令。

2.5 設(shè)置網(wǎng)絡(luò)訪問控制

利用linux系統(tǒng)自帶的iptables防火墻制定訪問規(guī)則，能有效控制和緩解各類未經(jīng)授權(quán)的web訪問，減少被攻擊的可能性。通過限制由主機發(fā)起的數(shù)據(jù)包狀態(tài)，僅允許主機主動訪問安全的IP地址，有效杜絕反向木馬攻擊，保障系統(tǒng)的安全性。

3 部署網(wǎng)頁防篡改

業(yè)務(wù)系統(tǒng)web網(wǎng)站非常容易成為攻擊的首要目標(biāo)，其中對網(wǎng)站的網(wǎng)頁內(nèi)容的篡改對用戶產(chǎn)生的負面影響非常嚴重，尤其是面對社會公眾的系統(tǒng)，有可能產(chǎn)生企業(yè)形象受損、信息表達失誤、甚至可能導(dǎo)致機密信息泄露等安全事件。目前常用的網(wǎng)站防篡改方法：①通過業(yè)務(wù)系統(tǒng)實現(xiàn)頁面防篡改及自動恢復(fù)功能，如數(shù)字水印技術(shù)等。②部署專業(yè)的防篡改軟件，如天融信、iguard等，避免惡意篡改網(wǎng)站頁面。上述方法均需要投入大量的資金和人力對業(yè)務(wù)應(yīng)用系統(tǒng)代碼進行調(diào)整或者采購安全設(shè)備部署防篡改系統(tǒng)，公司部分老舊系統(tǒng)按上述方式實施信息安全防護難度較大。

為了確保業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運行，保證信息安全無死角，公司通過編制shell腳本對于部署在linux操作系統(tǒng)的web網(wǎng)站實施了簡易防護：通過使用chattr+i命令，對web網(wǎng)站文件夾及文件設(shè)置不可修改屬性，確保原有網(wǎng)頁頁面內(nèi)容不會因為未授權(quán)的攻擊發(fā)生改變、通過腳本循環(huán)運行findmmin-2-typef命令，每2s對網(wǎng)站文件夾下的新增或者被改寫的文件進行查找，對發(fā)現(xiàn)的不安全的新增網(wǎng)頁及時進行刪除，對被改寫的網(wǎng)頁文件通過使用備份文件自動進行恢復(fù)。通過shell腳本自動監(jiān)控，簡易實現(xiàn)了網(wǎng)頁防篡改功能，公司在確保業(yè)務(wù)系統(tǒng)穩(wěn)定運行的同時，達到了安全防護的目的。

4 waf防火墻防護

公司老舊業(yè)務(wù)系統(tǒng)普遍存在web應(yīng)用攻擊防護能力不足的問題，如存在未對輸入數(shù)據(jù)進行檢查過濾等缺陷，極易受到sql注入攻擊或者xss跨站攻擊等。通過將系統(tǒng)接入到waf防火墻后面，能大幅度增加系統(tǒng)對于web攻擊的防護能力。通過waf防火墻對數(shù)據(jù)包的解析，能有效阻止非授權(quán)的web訪問、防御sql注入、跨站請求偽造、文件包含、數(shù)據(jù)竊取、防護惡意代碼等攻擊，并能通過waf防火墻的升級改造，進一步提升web應(yīng)用防護能力。

5 結(jié)語

信息安全在公司的信息化建設(shè)中是一個永恒的課題，涉及技術(shù)、管理、運維、使用等多個方面，既包括信息系統(tǒng)本身的問題，也有物理和邏輯的方面。在目前信息化建設(shè)的浪潮中，我們應(yīng)該更加重視業(yè)務(wù)信息系統(tǒng)的安全威脅管理，實現(xiàn)信息系統(tǒng)可研、設(shè)計、建設(shè)、運維和下線全周期的信息安全管理，為信息系統(tǒng)提供扎實的安全服務(wù)，降低信息安全威脅。這是公司面對21世紀信息化發(fā)展的迫切需要。

TP316.81

A

2095-2066（2016）35-0022-01

2016-12-2

彭駿馳（1979-），男，工程師，碩士，主要從事信息運維工作。