如何保证服务器的安全？

如何保证服务器安全？

笔者以前作一个项目时，思考了这个问题。汽车维修公开信息项目大致上就是一个文档有偿下载打印的资源类信息网站。此类网站的价值就在于资源，因此保证资源的安全性即是重中之重了。

笔者认为，最好的防护就是进攻，Web服务器安全更是如此。整体来讲，从如下两个方面来叙述。

应用层面的预防

开发过程当中，规范Web开发的安全标准。

1. 防止sql注入

   采用预处理进行sql操做，绝对不能使用sql语句的拼接。

2. 用户密码验证

   密码验证是必须的，储存密码不能使明文，最好多重加密验证。

3. 文件上传限制

   文件上传必定要类型限制，上传后把文件名格式化。

4. 过滤可执行脚本

   对用户提交的数据进行转义，防止用户提交含有js脚本的信息输出到页面上直接被浏览器执行。

5. 日志系统

   增长服务的访问日志，记录ip，参数等， 对后台操做记录日志。

6. WEB容器配置

   web容器存在一些配置漏洞。如tomcat后台管理，默认用户及密码登陆后直接获取war文件。

7. 数据库设置

   针对先后台操做创建不一样的数据库操做用户，切不可用root级别连接数据库。

服务器层面的监控

运维过程当中，对Web服务器进行持续的监控。

1. 控制服务器的访问端口

2. 设置“僚机服务器”，故意开后门让攻击者来攻击僚机服务器， 管理着我就能获取攻击者的攻击手段，并在真正服务器上作相应的安全措施应对。

3. 设置“蜜罐服务器”，让攻击者真假难以区分，这个上面叙述十分类似。