如何保证服务器安全?
笔者之前做一个项目时,思考了这个问题。汽车维修公开信息项目大体上就是一个文档有偿下载打印的资源类信息网站。此类网站的价值就在于资源,所以保证资源的安全性便是重中之重了。

笔者认为,最好的防御就是进攻,Web服务器安全更是如此。总体来说,从以下两个方面来叙述。

应用层面的预防
开发过程中,规范Web开发的安全标准。

防止sql注入

采用预处理进行sql操作,绝对不能使用sql语句的拼接。

用户密码验证

密码验证是必须的,储存密码不能使明文,最好多重加密验证。

文件上传限制

文件上传一定要类型限制,上传后把文件名格式化。

过滤可执行脚本

对用户提交的数据进行转义,防止用户提交含有js脚本的信息输出到页面上直接被浏览器执行。

日志系统

增加服务的访问日志,记录ip,参数等, 对后台操作记录日志。

WEB容器配置

web容器存在一些配置漏洞。如tomcat后台管理,默认用户及密码登录后直接获取war文件。

数据库设置

针对前后台操作建立不同的数据库操作用户,切不可用root级别链接数据库。

服务器层面的监控
运维过程中,对Web服务器进行持续的监控。

控制服务器的访问端口

设置“僚机服务器”,故意开后门让攻击者来攻击僚机服务器, 管理着我就能获取攻击者的攻击手段,并在真正服务器上做相应的安全措施应对。

设置“蜜罐服务器”,让攻击者真假难以区分,这个上面叙述十分相似。