文章主要是針對Linux主機(jī)談的。

一、堡壘往往是從內(nèi)部被攻破的，小心你身邊的人。

經(jīng)驗(yàn)表明，絕大多數(shù)的網(wǎng)絡(luò)攻擊，來自同事、網(wǎng)友和主機(jī)用戶。這些人能直接或者間接地進(jìn)入你的主機(jī)系統(tǒng)，甚至有可能知道你的密碼。小小的疏漏，都會造成致命的錯誤。我曾經(jīng)給我同事演示盜取他論壇密碼，方法很簡單，INCLUDE，然后ECHO，變量值就顯示出來了，變量值里就存有密碼，只有幾行代碼。我告訴他把密碼直接寫到論壇源碼里去，這樣就沒事了。換個角度，你不是網(wǎng)管，只是主機(jī)上的用戶，網(wǎng)管一個小小的失誤，很可能會毀掉你的網(wǎng)站。

二、經(jīng)常翻看服務(wù)器日志。

日志里有各種訪問信息，通過分析日志文件，你很容易發(fā)現(xiàn)試圖進(jìn)入你管理后臺或者試圖探測主機(jī)的人。11月初的時候，以為學(xué)校的小路由器總斷線，我改用服務(wù)器代理上網(wǎng)，用的是紅帽子9。服務(wù)器運(yùn)行不到一個月，我翻看了一下日志，發(fā)現(xiàn)至少有五個國家和地區(qū)的IP試圖探測我的系統(tǒng)，有美國、韓國、日本、臺灣、印度。于是我做了IPTABLES，對那幾個IP網(wǎng)段做了屏蔽，倒是安靜了一些日子，服務(wù)器上只產(chǎn)生了很少的日志信息。后來我發(fā)現(xiàn)，試圖探測系統(tǒng)的IP有不少是國內(nèi)的，屏蔽IP顯然不是什么好辦法，好好做做IPTABLES比什么都強(qiáng)。舉個例子，我服務(wù)器上的SSH和WEBMIN服務(wù)限定為只有葫蘆島鐵通的IP才可以訪問，這樣很容易查到試圖入侵系統(tǒng)的黑客。說到翻看日志，我居然發(fā)現(xiàn)有網(wǎng)絡(luò)監(jiān)控部門的訪問記錄，勸大家以后開網(wǎng)站小心點(diǎn)，別以為別人不知道你做了啥~

三、別相信法律武器

如果你是政府網(wǎng)站的網(wǎng)管，你大可不必?fù)?dān)心別人黑你，一般人他不敢。多數(shù)情況下，別人黑了你，你都沒有辦法。就算你有足夠證據(jù)，也未必會得到法律的有效保護(hù)，更何況你的網(wǎng)站沒有注冊登記，被人黑了也就黑了，真是沒處告去。所以安全防護(hù)還要靠你自己。

四、我的網(wǎng)站安全策略。

現(xiàn)在大部分的網(wǎng)站，尤其是單位和個人網(wǎng)站，都是用CMS做的。CMS一般都有漏洞，包括論壇在內(nèi)，這是不可避免的，腳本對數(shù)據(jù)過濾不嚴(yán)就會產(chǎn)生SQL注入漏洞，你的數(shù)據(jù)庫內(nèi)容很可能被篡改。我是這么做的。

1、禁止FTP登陸主機(jī)，這么做很不方便，因?yàn)镕TP空間經(jīng)常使用。

2、把CMS源碼文件OWNER設(shè)成ROOT，其實(shí)很簡單，登陸超級用戶后，拷貝一下目錄就可以了。

3、改源碼。因?yàn)镃MS不會反復(fù)打開后臺數(shù)據(jù)庫，打開數(shù)據(jù)庫的指令通常只有幾條（多數(shù)時候是兩條，前臺源碼里一條，后臺源碼里一條），過濾一下，很容易找到相應(yīng)的腳本行。

4、ZEND優(yōu)化類似編譯，實(shí)際上它還有源碼加密的功效，這樣隱藏在源碼里的數(shù)據(jù)庫密碼就不會露出來了。

5、一個數(shù)據(jù)庫用兩個用戶名打開。MYSQL的權(quán)限管理可以到字段。添在你源碼里的打開數(shù)據(jù)庫的那個用戶，權(quán)限盡可能降低，而另一個管理用的用戶名，則擁有對數(shù)據(jù)庫的全部權(quán)限。權(quán)限設(shè)好了，就算把管理密碼貼到大街上，別人也奈何不了你。

6、該數(shù)據(jù)庫原始文件權(quán)限，SU后拷貝一下目錄，這樣即使是數(shù)據(jù)庫管理員，也黑不了你的網(wǎng)站~一般來說是不用這么做的。

7、物理上的安全措施，媒體資料、數(shù)據(jù)庫、網(wǎng)站前臺、后臺分別放在不同服務(wù)器上。這么做有點(diǎn)BT了，不過安全沒的說，除非關(guān)鍵系統(tǒng)，否則沒必要搞這么嚴(yán)格。什么是關(guān)鍵系統(tǒng)呢？不只是國防、經(jīng)濟(jì)建設(shè)、金融等等系統(tǒng)才是重要系統(tǒng)，有一定規(guī)模的網(wǎng)站都屬于關(guān)鍵系統(tǒng)，安全漏洞可能使數(shù)年心血?dú)в谝坏?/P>

五、我的具體做法

這兩個月以來，我做了兩個網(wǎng)站。一個是學(xué)校的www.lnjxgx.cn，因?yàn)橄聦W(xué)期要換別人做，現(xiàn)在已經(jīng)廢棄了，開學(xué)就要刪掉了。我把數(shù)據(jù)庫的權(quán)限設(shè)成“選擇”，同時屏蔽了FTP主機(jī)用戶。除非管理員，不然沒人能黑掉那個網(wǎng)站（我現(xiàn)在是唯一的管理員）。當(dāng)然，數(shù)據(jù)庫不可寫，APACHE要報(bào)錯，我取消了APACHE和PHP的報(bào)錯功能。

第二個網(wǎng)站是放假以后做的www.y768.com/mil，一個小小的音樂網(wǎng)站。只有大約1000首歌曲。別看它小，功能卻很強(qiáng)大，我一個人整理資料，一天至少可以放一百張專集（大約一千多首歌曲）上去，CMS功能還是相當(dāng)強(qiáng)大的。同樣，我把數(shù)據(jù)庫權(quán)限設(shè)成了“選擇”，對個別的表，則放開權(quán)限，比如留言板、用戶登陸對應(yīng)的三個表，這么做最壞的情況是留言被刪掉，網(wǎng)站的內(nèi)容是無法更改的。后臺我剝離出來，放到家里服務(wù)器上。

開始的時候，我在學(xué)校主機(jī)上設(shè)了個只有葫蘆島鐵通寬帶用戶才能登陸的遠(yuǎn)程MYSQL用戶，用來管理網(wǎng)站數(shù)據(jù)庫，后臺部分剝離開來放到我家里服務(wù)器上，后來覺得沒什么必要，我改在家里整理資料，然后用MYSQL管理軟件上傳數(shù)據(jù)，效率是一樣的。我家有個淘汰的K6-2，做的Linux RH9服務(wù)器。即便如此，我還是經(jīng)常做數(shù)據(jù)備份。

說句不太中聽的話，被黑的網(wǎng)站，就跟那“豆腐渣”工程一樣，光注重外表，金玉其外，敗絮其中。安全防護(hù)比外觀更重要。

嘿嘿，看到此貼的黑客朋友，你還有興趣黑我么？黑客技術(shù)應(yīng)該用于正途，你黑別人是犯法的事，又沒有人給你工錢；但反過來你把你的技術(shù)用在安全防護(hù)上，卻可以給你自己創(chuàng)造利益。