Web建站安全防护建议

最近自己建了个网站,网站安全搞了一阵,闲来没事就写写总结,方便以后查看。

建议

  1. 服务器上能少开的端口就少开
  2. 服务器最好禁ping
  3. 服务器最好使用秘钥登录,禁止root账号登录
  4. 应用程序千万不要使用root启动!!mysql、nginx、java程序这些最好用其他用户启动。还有,运行的用户不允许对源代码有修改的权限!
  5. 程序如果有上传文件的功能,相应的目录不能有执行的权限。
  6. 关于暴露服务器真实ip的问题,如果作为web网站,除了购买高仿IP,好像别无选择。。 我的网站目前没管,用cdn好像也没多大作用
  7. 对于公开访问的网站,一定要做好防xss、CSRF、sql注入攻击,具体如何防御,请百度。对于ddos攻击,就别想防了,不过阿里云有5G的免费防御可以用,超了没法,早点洗洗睡吧!有钱人另说
  8. 千万不要以为用户的输入是合法的,一定要控制输入的内容。要采取防御式的方式去处理应用。确保应用的安全。一般我们提倡的是:防御式架构和防御式编程
  9. 服务器最好装个fail2ban,开启sshd、sshd-ddos、mysql防护,另外配合nginx监控日志来防护,目前记得的就这些
  10. nginx做好网站限流配置
  11. 修改linux系统内核参数配置,sysctl.conf

现在的技术已经很发达了,网络安全防不胜防,没有百分百的安全,上面的建议对于一般的公司网站来说,差不多够用了。暂时想到这么多,后面想到再补充吧!

原文地址:http://blog.51cto.com/8771916/2097136

时间: 2024-08-29 20:06:42

Web建站安全防护建议的相关文章

Web建站基本概念

首先要知道网站访问大概是什么个过程: 假设你在浏览器地址栏输入这个问题的地址 http://www.zhihu.com/question/22689579 访问过程和下图差不多,浏览器和服务器交流,服务器和数据库交流(有时候数据库就在服务器那台机子上) HTML 与 CSS 你家电脑拿到一个 html (就是上图 HTTP 响应的 body 里的内容)之后,就会对它进行解析渲染.HTML 就是一种标记语言.类比一下,大家在论坛上经常会用一些代码来添加富文本内容,举一些栗子: [img]图片地址[

#前端杂谈 【Web 建站技术中,HTML、HTML5、XHTML、CSS、SQL、JavaScript、PHP、ASP.NET、Web Services 是什么?via知乎 张秋怡】

先附上链接:Web 建站技术中,HTML.HTML5.XHTML.CSS.SQL.JavaScript.PHP.ASP.NET.Web Services 是什么? 这是分享自知乎用户张秋怡的一个回答,用通俗形象的语言解释了关于前端的一些基本概念,比较适合像我这种刚入门的小白阅读.

Web 建站技术中,HTML、HTML5、XHTML、CSS、SQL、JavaScript、PHP、ASP.NET、Web Services 是什么?

建站有很多技术,如 HTML.HTML5.XHTML.CSS.SQL.JavaScript.PHP.http://ASP.NET.Web Services.浏览器脚本.服务器脚本等.它们的区别是什么?新手一点不懂,想理清所有这些技术之间的关系和应用范围. 一个学期前我也和楼主差不多不知道这些都是啥,一个学期之后差不多都弄懂了,来讲讲自己的理解吧! 大概是什么个过程:假设你在浏览器地址栏输入这个问题的地址http://www.zhihu.com/question/22689579访问过程和下图差不

[web建站] 优课急送《零基础快速学习建站》视频+课件【价值399元】

[课程介绍]你想快速建一个网站出来吗?你想从什么都不懂到一两天出一个漂漂亮亮的站吗?你想完成领导交给你的任务找人建站吗?你想自己建站来创业吗?你想学会建站之后,利用给别人建站来赚钱吗?你想建一个跟某个网站一模一样的网站吗?你想让同学朋友羡慕你会建站,而且很牛逼的站吗? 只需7天,我们帮你实现.?每年网站建设人才缺口近千万.说明人才需求迫切.每年新增IT企业数百万.说明职位需求庞大.每年新增网站几百万.说明网站建设是个紧缺人才的行业,也是说明需求很大.关于公司企业或者建站开发技术交流的QQ群平均每

[web建站] 极客WEB大前端专家级开发工程师培训视频教程

极客WEB大前端专家级开发工程师培训视频教程  教程下载地址: http://www.fu83.cn/thread-355-1-1.html 课程目录:1.走进前端工程师的世界HTML51.HTML5与HTML4的区别2.HTML5新增的主体结构元素3.HTML5新增的的非主体结构元素 4.HTML5表单新增元素与属性5.HTML5表单新增元素与属性(续)6.HTML5改良的input元素的种类 7.HTML5增强的页面元素8.HTML5编辑API之Range对象(一)9.HTML5编辑API之

建站之买完虚拟主机之后怎么把Java web工程传进去

传进去也是没有用的,因为你没有tomcat这样的服务器.只有虚拟服务器才能安装服务器之类的软件. 虚拟主机只能使用其预装好的web server和数据库(Window版本下是IIS和SQL Server,Linux版本下是Apache和MySQL,这两种都不支持Java Web应用). 可以购买其云服务器,自己安装JDK和需要的软件来部署Java Web应用. 虚拟住主机就是将一台主机用软件分为多个分区,比如一台ip为192.168.1.1的主机,服务商(空间商)为了赚取更多的利润,他会将这台主

十年建站老司机带你十分钟搭建网站

本文概要: 1. 域名 + 域名注册 + 域名备案 + 域名解析绑定 2. 服务器 + 虚拟主机 + windows服务器 + linux服务器 3. CMS建站系统 4. 总结 在如今互联网发展迅速猛进的大环境下,网站已经成为一个企业不可缺少的网络媒介.但网站开发行业鱼龙混杂,质量参差不齐,价格更是跨越区间大.尤其对于那些在建站方面不懂的小白来说,很容易被人坑,所以作为在网站开发行业摸爬滚打多年的草根老司机,通过本文向大家分享建站的经验与心得,避免不必要的弯路和成本损耗. Come on! 小

从购买服务器到建站,从0打造自己的网络领地。

记得当年我萌生出要建立一个自己的网站的时候,在网络上搜索了很多教程,但是都不怎么能看懂,于是建站这个事情折腾了我很长的时间.在学习了很多知识之后,我终于能够熟练的从0到1建立一个安全可靠的站点.现在把我的经验分享给各位刚入坑的伙伴,希望新手不用像我当年一样为建站苦恼.----------------------第一部分--------------------简单介绍云服务--------------------------------------------------要想建立一个网络站点,前提

【从0开始Tornado建站】总体设计

Tornado是一个非阻塞的web服务器,也是python的web框架中非常优秀的一款.网上关于django的tutorial非常多而且详细,关于tornado的使用就非常少了,我想以我从0开始的方式一步一步用这个优秀的tornado框架建一个小网站,一方面加深自己的理解,另一方面接受大家的建议和批评,更加进步~我注册了个域名:http://www.ustchacker.com,由于服务器在学校里面,外网访问不了,等功能完善后再挂到外网去. 我想建的是一个普通的网站,有登录.注册.发表文章.发表