让你的系统更安全——安全策略相关设置

在社区发布的第一篇小文：让你的系统更安全——权限校验 记录了一下服务端权限校验，本文收集了一些安全相关的设置策略，也能够提升系统的安全性，欢迎你们来补充

系统安全保护策略

服务器

• 设置密码使用期限策略
• 密码复杂度：强制密码长度6-24,字母数字大小写必须
• 帐户锁定策略：密码输入N次锁定M分钟
• 禁止空密码帐户和guest帐户
• 空闲会话断开时间
• 禁止未登陆时关机 安全设置\本地策略\安全选项。将"关机:容许在未登陆时关闭系统"设置为:已禁用
• 仅安装必需的软件
• Linux系统禁止直接root用户登陆，建立其余帐号并管理好权限 (防止删库到跑路状况)

应用系统

网络访问

• 添加SSL证书,https访问web站点
  • https能避免不少web会话安全问题（泄密，篡改）
• web应用目录不能对外暴露 （如IIS目录启用问题）

身份校验

• 密码复杂度校验：强制密码长度6-24,字母数字大小写必须
• 登陆作两种以上的安全校验:帐号密码+验证码/令牌
• 登陆失败锁定帐号策略 （以上防止暴力破解）
• 登陆防止sql注入校验
• 用户密码禁止明文存储到数据库
• 系统权限（页面、操做）校验：先后两端必须都得校验，后端若是不校验，直接访问api会致使非法用户越权
• 限制同一用户屡次登陆操做或清除资源（如登陆后返回令牌，再次登陆清除掉旧的令牌，以避免被随机获取）
• 关键性操做须要二次确认身份（如修改重要信息、支付 须要密码或手机短信码确认）

大部分系统漏洞都仍是偷懒形成的，服务端不要相信客户端传来的任何数据，要仔细检查加判断校验

必定状况下可启用ip访问限制，如数据库只能经过内网

资源访问

• 图片/cdn启用防盗链 防止cdn被其余人滥用，流量大量损失
• 短信、邮件发送限制频率