隨便聊聊鄙公司服務器的安全設置!

    筆者長期以來一直作得工做基本上就是開發公司的PHP程序,另外維護幾臺CentOS服務器,在長時間的工做中總結了一套對付攻擊的小手段,不敢藏私,分享給你們,但願你們喜歡!

    首先說一下服務器那邊的設定情況好了,服務器在公司內部,一條光纖直接接入,有7個固定IP,每一臺服務器均有本身的固定IP,另外每一臺服務器均為雙網卡,除了有一個外網固定IP外還同屬於一個內網,這7個固定IP是經過一臺帶有路由功能的硬件防火牆進行分發的.硬件防火牆只對外開放了80端口,其他的所有都關掉了.而服務器則基本上都是CentOs,只有一臺是windows.CentOs所有開了Linux系統自帶的防火牆,遠程管理的時候經過某種特殊手段鏈接到這個服務器所在的局域網的某臺windows操做系統的服務器上,而後再經過這臺windows上安裝的SSH便可操控每一臺服務器了,雖然這麼設定很是麻煩,但卻很安全.(這裏補充說一下,每臺服務器的防火牆均設定了容許某個內網IP纔可SSH單向連線的規則,這設定就比較繁瑣了,小孩子沒有娘提及來話很長,既然很長我就不說了.)

   既然如此你們或許會問,只開了一個80還有什麼好攻擊的呢?其實否則,首先有某公司經常會用webbench壓力測試工具來試圖癱瘓nginx,沒辦法由於這套程序以前就是他們開發的,他們知道這套程序運行的時候極其消耗CPU資源.其次有衆多來自內地網友們猜想這套程序的潛在漏洞,例如猜想管理員後臺入口,猜想是否有網站備份的壓縮文件放在服務器上等等,他們的這些訪問方式所有都是針對80端口來的,若是不採起某些措施的話Nginx會經常癱瘓掉,致使網站出現錯誤500或錯誤502,而那些猜想的害處我就更不用多說了,對於以上諸多不友好的來訪者筆者只好作一些扼殺手段了.

   其實作法提及來也並不複雜,首先我會用php取得來訪者的訪問意圖,若是對方的意圖有鬼或不軌知足了個人封殺條件,那麼就幹掉他吧!首先用PHP自動創建.sh這樣一個文件,這個文件的的內容就是用來改寫linux的防火牆規則(固然了我也能夠改寫硬件防火牆的規則,不過太麻煩了,仍是偷個懶吧!),修改這個.sh文件的屬性和全部者讓其能夠被執行,而後用linux的crontab來取得並執行這個.sh把封殺規則寫入防火牆,同時給筆者發一封Email告知我某個倒黴蛋已經被封殺了便可.

下邊是個人作法:

<?PHP
#	自動封鎖IP QQ羣:223494678
#	用法:
#		1.首先把下方的PHP代碼放入被全局require的配置檔內.
#		2.用SSH執行:cat /etc/crontab
#		3.加入下邊兩行:
#			#auto lock webbench
#			*/1 * * * * root /home/wwwroot/bossAdm_Web/webbench.sh;
#		4.重啟crontab的服務:service crontab restart

//封鎖任何來源的WebBench
IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {
	$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);
	IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False And (isSet($_SERVER['REMOTE_ADDR']) And Trim($_SERVER['REMOTE_ADDR'])!='')) {
		DoLock($_SERVER['REMOTE_ADDR']);
		Die();
	}
}

//封鎖敏感Url,針對猜測以下url的ip直接封殺 QQ羣:223494678
//這段代碼最好是加入到404.php內,這樣效果更大(須要從新配置一下httpd.conf,讓404錯誤頁指向到該404.php) QQ羣:223494678
IF(isSet($_SERVER['REQUEST_URI']) And Trim($_SERVER['REQUEST_URI'])!='') {
	IF(StriStr($_SERVER['REQUEST_URI'],'/admin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/sign')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/reg')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/tiki-')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/join')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/config')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/backup')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/www')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/manage')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/password')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/install')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/phpmyadmin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/webadmin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/inc')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/user')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/upload')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/setup')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/sys')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/cert')!==False
	){
		DoLock($_SERVER['REMOTE_ADDR']);
		Die();
	}
}

//創建sh檔,用途是封鎖ip,該sh檔會被排程以root身份執行. QQ羣:223494678
Function DoLock($x){
	$p='/home/wwwroot/bossAdm_Web/webbench.sh';
	File_Put_Contents($p,"#! /bin/bash\n iptables -I INPUT -s {$x} -j DROP;\n echo \"{$x} - `date`\" | mail -s \"WebBench\" see7di@gmail.com;\n cat /dev/null > {$p}",LOCK_EX);
	Chmod($p,0755);
	chown($p,'www');
	unSet($p,$x);
}

發問之後有網友問我"遠程管理的時候經過某種特殊手段鏈接到這個服務器所在的局域網的某臺windows操做系統的服務器上"這句話中的特殊手段到底是什麼手段,好吧我就簡單的說一下好了,說多了我怕砸了本身的碗.首先我會登錄進入公司網站的後臺管理,然後發送一個開放3389的請求,發送之後退出後臺便可,linux服務器接收到請求(只是一個ini文件而已)之後會把這個文件通過samb通過內部局域網丟到windows服務器上,那臺windows服務器上有我開發的一個監控端,用來隨時掃描是否有請求,若是有的話這個監控端就會修改硬件防火牆的設定,把3389的映射端口(65525內的某個端口映射到這臺windows上的3389)開放一下,此時我就能夠用3389方式連線到這臺服務器了(從請求發送到開放3389大約只須要1分鐘的時間),只不過要注意的是:要改一下gpedit的設定,讓其在3389連線完畢之後自動創建一個關閉3389的請求,這樣剩下的事就交給那個監控程序來幫我關閉3389的映射端口就好了.

以上,如需交流PHP的朋友能夠加個人QQ羣:223494678 相信只有交流才能成長!至少我是這麼認爲的.:)