简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
ホームページ
記事
に質問
コース
特集
ダウンロード
ゲーム
辞書
最近の更新

ホームページ  >  記事  >  バックエンド開発  >  会社のサーバーのセキュリティ設定について話しましょう!_PHPチュートリアル

会社のサーバーのセキュリティ設定について話しましょう!_PHPチュートリアル

WBOY
WBOYオリジナル
2016-07-20 11:15:19951ブラウズ

著者が長年行ってきた仕事は、基本的に会社の PHP プログラムの開発と複数の CentOS サーバーの保守です。その中で、あえて攻撃に対処するための一連の小さな手段をまとめました。私の秘密を隠してみんなにシェアしてください!

まずサーバーの設定について説明します。サーバーは光ファイバーケーブルに直接接続されており、各サーバーは独自の固定 IP を持っています。ネットワーク カードは、外部固定 IP を持つことに加えて、同じ内部ネットワークにも属します。これらの 7 つの固定 IP は、ルーティング機能を備えたハードウェア ファイアウォールを通じて分散され、残りはポート 80 のみに開きます。サーバーは基本的にすべてオフになっており、Windows は 1 つだけです。すべての CentO は、リモート管理中に、LAN 上の Windows サーバーに接続するためにいくつかの特別な手段を使用します。この設定は非常に面倒ですが、各サーバーのファイアウォールは非常に安全であることを付け加えておきます。サーバーが設定されている 特定のイントラネット IP に対してのみ片方向 SSH 接続を許可するルールを設定した後、この設定は非常に面倒です。母親のいない子供にとっては長くなるので、説明しません。とても長いです。)

この場合、80 を開くだけで何が攻撃されるのかと疑問に思うかもしれませんが、実際にはそうではありません。まず、ある企業は nginx を麻痺させるために Webbench ストレス テスト ツールをよく使用します。このプログラムは以前に彼らによって開発されたものであるため、方法はありません。はい、彼らは、このプログラムが実行時に大量の CPU リソースを消費することを知っています。第二に、本土の多くのネチズンは、管理者の推測など、このプログラムの潜在的な抜け穴について推測しています。バックエンドの入り口、サーバー上に Web サイトのバックアップの圧縮ファイルがあるかどうかを推測するなど。待て、それらのアクセス方法はすべてポート 80 を対象としています。特定の対策を講じないと、Nginx が麻痺してエラー 500 またはエラー 502 が発生することがよくあります。そうした推測の害についてはこれ以上言う必要はありませんが、上記の多くの非友好的な訪問者に対して、著者はいくつかの首を絞める方法を使わざるを得ませんでした。

実際、方法は複雑ではありません。まず、PHP を使用して訪問者のアクセス意図を取得し、相手の意図が邪悪であり、ブロック条件を満たしている場合は、PHP を使用して自動的に作成します。 .sh このようなファイルの内容は、Linux ファイアウォール ルールを書き換えるために使用されます (もちろん、ハードウェア ファイアウォール ルールを書き換えることもできますが、面倒なので怠けましょう!)。この .sh ファイルの属性を変更し、所有者は実行を許可し、Linux crontab を使用してこの .sh を取得して実行し、ブロック ルールをファイアウォールに書き込み、作者に電子メールを送信して、ある不運な男がブロックされたことを知らせます。

私のやり方は次のとおりです:

リーリー

質問を投稿した後、一部のネチズンから「特別な手段このサーバーが配置されているLAN上のWindowsオペレーティングシステムサーバーに接続する」という質問がありましたが、この文の特別な手段とは一体何ですか?簡単に話しましょう。あまり話すと駄目になると思います。まず、会社の Web サイトのバックエンド管理にログインし、3389 を開くリクエストを送信します。バックエンドを終了すると、Linux サーバーはリクエスト (ini ファイルのみ) を受け取り、このファイルを smb 経由で Wi​​ndows サーバーにスローし、その Windows サーバー上にあるかどうかをスキャンします。要求がある場合、監視端末はハードウェア ファイアウォールの設定を変更し、マップされたポート 3389 を開きます (この時点では、この Windows では 65525 のポートが 3389 にマップされています)。サーバーは 3389 メソッドを使用して (リクエストから送信されます。3389 を開くには約 1 分しかかかりません)、唯一注意すべき点は、3389 接続が確立された後に 3389 を閉じるリクエストを自動的に作成するように、gpedit の設定を変更する必要があることです。これで残りは完了です。マッピングされたポート 3389 を閉じるのを監視プログラムに依頼してください。

上記について、PHP について友達とコミュニケーションを取りたい場合は、私の QQ グループ (223494678) に参加してください。コミュニケーションを通じてのみ成長できると信じています。:)

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/440195.html技術記事著者は、基本的に会社の PHP プログラムを開発し、いくつかの CentOS サーバーを保守するという長い仕事をしてきました。その長い期間の仕事の中で、攻撃に対処するための一連の小さな手段をまとめました。あえてそれを隠しません。 ...
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:php は COOKIE を使用して閲覧記録を作成します_PHP チュートリアル次の記事:php は COOKIE を使用して閲覧記録を作成します_PHP チュートリアル

関連記事

続きを見る