linux系统安全检查
- 检查是否禁止 ssh 密码登录、是否禁止root用户远程登录
- 修改 ssh 默认端口号、添加 ssh 防火墙白名单规则
- 添加 ssh 远程登录IP白名单、禁止白名单以外IP登录
- 防火墙默认规则、确保过滤所有传入端口、只开放服务端口
- 开启系统权限审计日志、认证登录日志
- 日志收集与监控服务运行状态
- 检查进程运行用户的权限
- 外部安全扫描(nmap扫描端口)
- 系统运行服务检查
- 检查 SSH 与 PGP 的私钥
- 文件系统完整性检查
- 检查系统安全更新
- 检查时钟是否同步为北京时间
- 检查是否需要开启swap,预防业务高峰时期内存不足引起OOM
3.应用服务器安全检查
- 统一设置40X错误页面、禁止输出服务器状态信息
- 检查Tomcat后台管理弱口令或禁用Tomcat后台默认应用
- Web服务器配置文件检查、避免端口或域名冲突
- 删除 Tomcat 默认安装的应用
- 设置禁止列出目录,防止直接访问目录时由于找不到默认页面,而列出目录下的文件的情况
- 确保生产环境与开发环境所需的依赖一致
搞企业先扫描,扫描器商业好;默密码都知道 ,社工库找一找;
邮箱号先列好,九头蛇跑一跑 ;搞不定放大招,发邮件凭伪造;
没邮箱搞网站 ,二级域皆可爆;老漏洞没修好,新漏洞刷一票 ;
干研发 Git 找,源代码全都要;CDN 可以跳, 防火墙可以撬;
堡垒机可以秒,云防护可以秒 ;是企业都可搞
此处引用自 考えるF4n9X
4.数据库安全检查
- 确保数据库连接的正确性
- 检查连接数据库用户的权限、开启数据库连接用户审计
- 上线前数据库做一次备份
- 检查数据库监听地址和端口、禁止监听外网IP地址
5.代码控制
- 使用sonar进行代码质量检测
- 备份旧数据、做好回滚准备
- jar包版本检查、检查内部jar包引用
- 检查 webshell 漏洞、SQL 注入漏洞等
6.监控和日志收集
- 确保监控和日志收集的数据正确
- 确保异常监控警报可以触发并做好处理措施
7.监控
- 确保监控服务正常运行
- 确保监控指标采集正常
- 确保监控报警系统面对突发事故时能准时准确地通知到相应人员
