浅谈基于linux系统的网站防护方法

彭骏驰（国网湖南省电力公司长沙供电分公司，湖南长沙410000）

浅谈基于linux系统的网站防护方法

彭骏驰（国网湖南省电力公司长沙供电分公司，湖南长沙410000）

本文从目前的web网站防护所面临的安全问题为起点，阐明了当前网站防护的重要性，并总结了一套简易、可行的网站防护方法，具有相当的普遍性，有借鉴和参考意义。

网站防护；安全加固

1 前言

随着企业信息化建设的进一步发展，业务应用与管理越来越依赖于通过访问web网站的方式进行交互。而对于部分已经投入使用的业务系统web网站，由于开发、运行时间较长，不太可能投入大量的资金和人力去重新开发或者做大规模的代码调整。目前基于linux操作系统的web应用，其系统运行的可靠性、可用性一般高于基于windows操作系统的web应用，公司在运的业务应用系统也是基本部署在linux操作系统服务器上，因此，如何在保障既有业务系统正常运行的前提下对基于linux系统的web网站进行有效的安全防护成为本文关注的一个焦点。

2 主机安全加固

对linux操作系统进行安全加固，主要是对系统中存在的补丁漏洞和配置漏洞，进行加固，以保障系统的安全性，并根据访问需求，开启主机防火墙，防止不必要的服务请求进入网站系统，减少被攻击的可能性。目前对主机操作系统的信息安全加固主要有以下几个方面。

2.1 系统账户优化

清理/etc/passwd文件，删除不需要的系统默认账户及测试账户，对于不需要登录的用户禁止登录shell。修改/etc/login. defs文件，设置合适的口令策略，包括最小口令长度、口令使用期限等。编辑/etc/padm.d/passwd文件，启用口令复杂度策略，杜绝账号弱口令，增强账户安全性。编辑/etc/profile文件，设置登录超时时间，限制远程登录账户的会话时间。

2.2 限制重要目录和文件的权限

对于linux操作系统的关键目录及文件进行权限限制，对于etc、bin、dev、sbin等关键目录取消普通用户读写权限，对于/etc/passwd、/etc/inetd.conf、/etc/services等关键文件设置不可修改属性，防止未经许可添加和者删除用户或服务。对普通用户的home目录权限进行分开管理，避免没有授权的访问，防止旁注攻击。

2.3 关闭非必须要的网络服务

编辑/etc/rc.d目录下相应启动级别的服务启动文件，关闭多余服务。或者通过chkconfig命令对系统服务进行配置，仅开放业务应用系统需要对外开放的网络服务。如无实际业务需要，关闭isdn、portmap、sendmail、nefts、vsftp等默认开启的不安全的系统服务。

2.4 增强openssh服务安全配置

Openssh是linux操作系统主流的远程登录软件，系统管理员通过ssh协议远程登录主机，对系统进行维护和配置，因此对该服务的安全管控至关重要。通过编辑配置文件/etc/ssh/ sshd_config，可以修改ssh协议的默认使用端口为其他自定义端口，禁用超级用户root远程登录，并设置口令最大尝试次数，防止暴力破解用户口令。

2.5 设置网络访问控制

利用linux系统自带的iptables防火墙制定访问规则，能有效控制和缓解各类未经授权的web访问，减少被攻击的可能性。通过限制由主机发起的数据包状态，仅允许主机主动访问安全的IP地址，有效杜绝反向木马攻击，保障系统的安全性。

3 部署网页防篡改

业务系统web网站非常容易成为攻击的首要目标，其中对网站的网页内容的篡改对用户产生的负面影响非常严重，尤其是面对社会公众的系统，有可能产生企业形象受损、信息表达失误、甚至可能导致机密信息泄露等安全事件。目前常用的网站防篡改方法：①通过业务系统实现页面防篡改及自动恢复功能，如数字水印技术等。②部署专业的防篡改软件，如天融信、iguard等，避免恶意篡改网站页面。上述方法均需要投入大量的资金和人力对业务应用系统代码进行调整或者采购安全设备部署防篡改系统，公司部分老旧系统按上述方式实施信息安全防护难度较大。

为了确保业务信息系统安全稳定运行，保证信息安全无死角，公司通过编制shell脚本对于部署在linux操作系统的web网站实施了简易防护：通过使用chattr+i命令，对web网站文件夹及文件设置不可修改属性，确保原有网页页面内容不会因为未授权的攻击发生改变、通过脚本循环运行findmmin-2-typef命令，每2s对网站文件夹下的新增或者被改写的文件进行查找，对发现的不安全的新增网页及时进行删除，对被改写的网页文件通过使用备份文件自动进行恢复。通过shell脚本自动监控，简易实现了网页防篡改功能，公司在确保业务系统稳定运行的同时，达到了安全防护的目的。

4 waf防火墙防护

公司老旧业务系统普遍存在web应用攻击防护能力不足的问题，如存在未对输入数据进行检查过滤等缺陷，极易受到sql注入攻击或者xss跨站攻击等。通过将系统接入到waf防火墙后面，能大幅度增加系统对于web攻击的防护能力。通过waf防火墙对数据包的解析，能有效阻止非授权的web访问、防御sql注入、跨站请求伪造、文件包含、数据窃取、防护恶意代码等攻击，并能通过waf防火墙的升级改造，进一步提升web应用防护能力。

5 结语

信息安全在公司的信息化建设中是一个永恒的课题，涉及技术、管理、运维、使用等多个方面，既包括信息系统本身的问题，也有物理和逻辑的方面。在目前信息化建设的浪潮中，我们应该更加重视业务信息系统的安全威胁管理，实现信息系统可研、设计、建设、运维和下线全周期的信息安全管理，为信息系统提供扎实的安全服务，降低信息安全威胁。这是公司面对21世纪信息化发展的迫切需要。

TP316.81

A

2095-2066（2016）35-0022-01

2016-12-2

彭骏驰（1979-），男，工程师，硕士，主要从事信息运维工作。