名客技术网

简体
繁体
×警告!请输入搜索关键词(仅提示一次)
网站建设电话:15927179345(资深程序)

Linux下的防篡改技巧

作者:网站小编时间:2019-03-21 11:03:42

何为防窜改

防篡改 即防止数据在使用和存储的过程中被非法篡改的手段.

Linux下的防篡改技巧

从上图就可以看出, 数据的篡改可能发生在任意一个环节. 只要一个环节出了问题, 就可能影响到整个数据的运作流程. 那如何防范呢?
勤劳人的人会去修补加固每一个环节, 而聪明的人会先钉死一个环节.

所以无论用什么手段, 只要能矫正数据篡改攻击, 那具体实现就没有什么高下之分了.
我们可以将篡改攻击的防御策略分为三个阶段:

阶段 防御策略
文件篡改前 做好备份和数据监控, 根据策略阻止和记录非法篡改行为
文件篡改中 即时感知异常行为, 即时反馈与CACHE操作
文件篡改后 切断数据流链条, 即时恢复,快速响应报告

要做到完善防御体系就必须同时具备前中后三点的防御能力, BUT LIFE-IS-SHORT ~


简单的防传篡改

今天我们就用用 chattr 这个LINUX自带的神器来为我们的WEB服务器做一次权限加固.
众所周知LINUX安全加固的一切基础就是权限分配.
所以在这之前,先让我们看几条企业网络安全铁律:

  1. 权限最小化
  2. 库站分离
  3. 上传下载区域和代码区域分离
  4. 变动最小化

其实这些问题都可以用良好的架构来规避, 但实际生产中, 由于资源和部署的各种问题, 很多时候只能委曲求全.

假如你的上传下载目录和网站代码在一个文件夹下, 你就会很担心, 有人利用上传漏洞, 获取WEBSHELL, 再接着篡改你的网站文件. 这时候,除了要控制上传目录不可解析脚本外, 还要进一步的锁定所有的网站代码. 这样入侵者就算通过其他的途径获取了WEBSHELL, 也无法进一步利用你的网站.

chattr

在LINUX中, 为了允许添加数据,防止更改或者删除等,文件和文件夹可以设定了特定的控制属性。例如,你可以在关键的系统文件或者文件夹中启用属性,然后没有任何用户,包括root,可以删除或者修改它,比如不允许使用像dump这样的命令等备份工具去备份一个特定的文件或者文件夹,等等。这些属性只可以在ext2,ext3或者ext4文件系统中的文件和文件夹上设定

下面我们就用 chattr 真正的实战一番

现在这个网站的安全性就有了非常大的提升. 如果还嫌不够. 可以把chattr 重命名. 做个蜜罐程序替代. 这样就算有高人进入你的服务器, 也发现了问题, 等他想进一步解锁文件的时候, 也会被你抓到. ( ̄▽ ̄)”
要想赢得战争你只能比敌人更~~贼.
说完了”克敌机先”下一篇我们说说”亡羊补牢”

名客技术网如果无意之中侵犯了您的版权,请联系站长,本站将在3个工作日内删除 QQ:175352796
Copyright 2011-2020 Powered by 121ASK.COM, All Rights Reserved.
备案号:鄂ICP备11013833号-3