北京
很多人以為服務器被黑是因為技術太菜。真相是,大部分入侵根本用不上什么高深手段——只是你忘了改一個默認設置,或者多給了一個不該給的權限。
這篇文章整理5個Unix-like系統(Linux/BSD)上的基礎安全配置。全部操作加起來不到一小時,但能擋住絕大多數自動化攻擊腳本。
1. 別用root當日常賬戶
root用戶擁有機器的絕對控制權,執行rm -rf /這種命令系統不會攔你。日常操作如果一直掛在root下,一旦某個程序被注入惡意代碼,對方直接獲得整臺機器。
正確做法是創建獨立用戶,需要提權時用sudo。切換流程:
adduser YOUR_NAME # 創建用戶passwd YOUR_USER # 設置密碼usermod -aG sudo YOUR_USER # 加入sudo組su YOUR_USER # 切換用戶
文件歸屬也要調整:chown $(whoami):$(whoami) /your/files,確保你的文件確實"屬于你"。
2. sudo必須強制密碼驗證
有人圖方便,把sudo配置成免密執行。這等于給黑客留了一扇不用鑰匙的門——只要突破外層,root權限唾手可得。
檢查你的sudoers配置,確保沒有NOPASSWD這種字樣。每次提權都輸入密碼是麻煩,但這道麻煩就是安全邊界。
3. 防火墻不是可選項
防火墻的本質是連接過濾器。你的SSH端口、WordPress后臺、數據庫管理界面,這些服務不需要對全網開放。
以SSH為例,可以配置成僅允許特定IP訪問。其他人連握手階段都進不來,掃描器直接跳過你這臺機器。
4. 服務隔離:一個漏洞不連坐
Unix的權限系統核心在于"用戶"這個設計。每個服務跑在獨立用戶下,即使某個服務被攻破,攻擊者也只能困在這個用戶的沙盒里,摸不到其他服務的數據。
Web服務器、數據庫、定時任務,分別用不同賬戶運行。這是權限設計的基本功,卻常被圖省事的人忽略。
5. 最小權限原則貫穿始終
前面四條其實都在說同一件事:只給必要的權限,多一分都是風險敞口。
需要讀寫的目錄才給寫權限,需要監聽的端口才開放,需要執行的命令才加入sudoers。每一個"為了方便"而放寬的限制,都是黑客的突破口。
技術越復雜,攻擊面越大。后臺、OAuth2、API這些現代網站的標配,也意味著更多漏洞入口。安全配置沒有做完的一天,但先把這五個基礎項打牢,你已經跑贏了大把競爭對手。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
