企業運維崗位面試:Linux伺服器如何防止中木馬?
阿新 • • 發佈:2018-12-29
(一)解答戰略
去企業面試時是有多位競爭者的,因此要注意答題的維度和高度,一定要直接秒殺競爭者,搞定高薪offer。
(二)解答戰術
因為Linux下的木馬常常是惡意者通過Web的上傳目錄的方式來上傳木馬到Linux伺服器的,可根據從惡意者訪問網站開始–>Linux系統–>HTTP服務–>中介軟體服務–>程式程式碼–>DB–>儲存,層層設卡防護。
(三)從使用者訪問角度解答參考
1、開發程式程式碼對上傳檔案型別做限制,例如不能上傳.php程式(JS及後端程式碼控制)。
2、對上傳的內容(包括文字和檔案)檢測,檢測方式可通過程式、Web服務層(中介軟體層)、資料庫等層面控制。
3、控制上傳目錄的許可權以及非站點目錄的許可權(Linux檔案目錄許可權+Web服務層控制)。
4、傳上木馬檔案後的訪問和執行控制(Web服務層+檔案系統儲存層)。
5、對重要配置檔案、命令和WEB配置等檔案做md5指紋及備份。
6、安裝防毒軟體clamav等,定期監測查殺木馬。
7、配置伺服器防火牆及入侵檢測服務。
8、監控伺服器檔案變更、程序變化、埠變化、重要安全日誌並及時報警。
(四)從內部管理人員角度:防止被提權
1、vpn管理伺服器或Web化管理伺服器。
2、ssh監聽內網。
3、採用跳板機、操作審計。
4、sudo集權管理、鎖定關鍵檔案。
5、站點目錄、上傳目錄許可權屬組控制。
6、做系統及站點檔案備份指紋監控報警。
7、動態口令認證。
(五)最佳網友解答