操作系统本身带有大量的工具和安全机制,只要您熟悉它们的工作方式和合理的设置,就可以防御基本的攻击。比如selinux、snort和honeynet。虽然这些工具很好,但我认为从纵深防御的角度来梳理会更有效。在大多数互联网公司中,服务器的数量相对较大,很多单机版的工具不具备管理性。我认为这些类别属于可靠的安全软件:
(1) 统一集中化管理工具
(2) 最小权限的访问控制策略
(3) 补丁与反病毒(包括所有恶意文件的查杀)
(4) 监控体系
(5) 基础安全工具(事后检查)
(6) 信息安全预警工具
1、 统一集中化管理工具
Windows下你可以用域、linux下可以用ldap,或者考虑一些像Puppet、Func之类的工具。类似于木马那样,每一台服务器都装一个agent。这样的解决方案还有很多商业产品,尤其是办公网络,搜索一下终端管理、桌面管理的关键字,可以找到很多。
2、最小权限访问控制策略
比如网络访问控制,Windows下使用IPSec、linux下使用IPTABLES,如果是一台游戏服务器,那么除了游戏端口,什么都不要让普通用户访问到,如果是web应用,就只开放80/443(如果有ssl的话)。文件权限控制,不要什么都777,对应在WIndows平台下,不要什么都是Everyone完全控制。
3、补丁与反病毒
这可能是安全厂商吹嘘的最多的东西(以前),但补丁防不住0day,杀毒软件可以免杀绕过(虽然在HIPS的围剿中正越来越难)
所以,个人认为这些东西只是一个基础必备但基本上不能信任的摆设。Windows下有WSUS(好像升级版是SMS),Linux下,还是通过统一集中化管理工具推送吧。
4、监控体系
一定要假设前面的设置是无效的,被牛逼黑客攻破了,这时候仍然要有监控的方案。例如主机层面可以用HIPS(蜜罐属于同一类方案)、网络层面可以用IPS、商业产品。
5、基础安全工具
假设获悉服务器已经被黑了(或者疑似被黑),上去做检查就是必要的(有时候是计算机犯罪取证)。这时候,一些检查进程、端口、启动项、隐藏文件、ssdt/syscall 之类的基础信息的工具,也称为安全工具了。大家熟悉的会有sysintenal系列的所有工具,冰刃/Xuetr/Chkrootkit 等
6、信息安全预警
如果不能获得一手的安全资讯,比如出了什么漏洞,有了什么补丁,最新的技术和思路是什么,那么上述所有工具和策略都只能是掩耳盗铃。建议使用一些高防服务器、防火墙和高防云防护,对于现在网络的技术高防云防护是比较好的一种防御方法。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有