CentOs web服務器安全防范經驗總結

1.禁用ROOT權限登錄。(重要)

創新互聯公司是一家專注網站建設、網絡營銷策劃、小程序設計、電子商務建設、網絡推廣、移動互聯開發、研究、服務為一體的技術型公司。公司成立十載以來，已經為1000+混凝土攪拌站各業的企業公司提供互聯網服務。現在，服務的1000+客戶與我們一路同行，見證我們的成長；未來，我們一起分享成功的喜悅。

2.安全組收縮不使用的端口，建議除443/80以及ssh登錄等必要端口外全部關閉。

3.防火墻收縮不使用的端口，建議除443/80以及ssh登錄端口外全部關閉。

4.更改ssh默認端口22

5.除登錄USER，禁止其他用戶su到root進程，并且ssh開啟秘鑰及密碼雙層驗證登錄。(重要)

6.限制除登錄USER外的其他用戶登錄。

7.安裝DenyHosts，防止ddos攻擊。

8.禁止系統響應任何從外部/內部來的ping請求。

9.保持每天自動檢測更新。

10.禁止除root之外的用戶進程安裝軟件及服務，如有需要則root安裝，chown給到用戶。

11.定時給服務器做快照。

12.更改下列文件權限：

13.限制普通用戶使用特殊命令，比如wget，curl等命令更改使用權限，一般的挖礦程序主要使用這幾種命令操作。

1.nginx進程運行在最小權限的子用戶中，禁止使用root用戶啟動nginx。(重要)

2.配置nginx.conf，防范常見漏洞：

1.禁止root權限啟動apache服務！禁止root權限啟動apache服務！禁止root權限啟動apache服務！重要的事情說三遍！因為這個問題被搞了兩次。

2.改掉默認端口。

3.清空webapps下除自己服務外的其他文件，刪除用戶管理文件，防止給木馬留下后門。

4.限制apache啟動進程su到root進程以及ssh登錄，限制啟動進程訪問除/home/xx自身目錄外的其他文件。

5.限制apache啟動進程操作刪除以及編輯文件，一般a+x即可。

1.關閉外網連接，與java/php服務使用內網連接。

2.在滿足java/php服務的基礎上，新建最小權限USER給到服務使用，禁止USER權限訪問其他項目的庫。

3.root密碼不要與普通USER相同。

4.建議使用云庫，云庫具備實時備份，動態擴容，數據回退等功能，減少操作風險。

1.關閉外網連接，只允許內網交互，基本這個做了之后就已經穩了。

2.禁止root權限啟動，運行在普通用戶進程里。

3.更改默認端口。

4.添加登錄密碼。

以上是自己做的防范手段，不成熟見解，有一些方案待驗證，不定時更新，歡迎大佬補充！

高防服務器的原理是什么？

高防服務器的防御原理

無論網站大小，多多少少都會被DDOS攻擊和CC攻擊的經歷，應對流量攻擊，很多人首先會想

高防服務器主要是指獨立單個硬防防御50G 以上的服務器，可以為單個客戶提供安全維護。

總的來說是屬于服務器的一種，根據各個IDC機房的環境不同，有的提供有硬防，有使用軟防。

從防御范圍來看，高防服務器能夠對SYN、UDP、ICMP、HTTP GET等各類DDoS攻擊進行防護，并且能針對部分特殊安全要求的web用戶提供CC攻擊動態防御。

高防服務器防御的原理是什么？

現如今，市面上的絕大多數高防服務器，主要通過實現在“網絡層面”和“物理層面”的防護，來幫助用戶防御各種網絡攻擊，并維護服務器自身的安全。

1、網絡防御

有一種高防服務器，主要是針對網絡防御進行加強的服務器。這類高防服務器，在硬件上與普通的服務器是一樣的，只不過在技術上，進行了專門的 IP 隱藏設計，使得外界的攻擊沒有辦法直接攻擊到該服務器，這也是一種很有效的防御措施和原理。

2、物理防御

一般來說，我們通常所接觸到的高防服務器，指的都是物理防御，也就是直接在服務器的硬件上面，增加了一層硬件防火墻。這樣的硬件防火墻，無疑就像是服務器一層厚重的“盔甲”，可以起到非常良好的防御作用。所以一般默認的高防服務器，就是這類添加“硬件防火墻”進行物理防御的高防服務器。這種高防服務器，能夠使得通過在物理硬件層面的加持，讓用戶享受到更加安全、良好和顯著的防御效果。