网络攻防学习笔记 Day125

Nginx 是一个高性能的 HTTP 和反向代理 Web 服务器，在出现之后，使得网站服务从 LAMP（Linux、Apache、MySQL、PHP）组合很快变成了 LNMP（Linux、Nginx、MySQL、PHP）。

Redis 最严重的漏洞便是未授权访问，因此对 Redis 配置认证是非常重要的。为 Redis 设置访问密码，在 redis.conf 中找到 requirepass 字段，去掉其注释，并在后面填上需要的密码（Redis 客户端也需要使用此密码来访问 Redis 服务）。

针对 Web 组件的安全性：

设置认证体系，不能出现空口令、弱口令等情况，防止未授权访问。

最小化运行权限，尽量不使用 root 运行。

尽量通过配置文件、iptables、ACL 控制访问源，如非必要，尽量不要开放到公网。

注意这些组件的相关漏洞，如果出现严重漏洞，需要进行补丁修复。

注意配置文件的安全性，尽量不将明文写入配置文件中，可以采用隐藏密码或代理技术。

对于日志文件和操作记录，建议单独存放。

尽量避免危险操作，可以识别一些高风险操作，例如，不带 where 的删除语句，keys*等。

如果使用腾讯云的黑石服务器，或在 AWS 云上采用 vpc-traffic-mirroring 技术（https://aws.amazon.com/cn/blogs/aws/new-vpc-traffic-mirroring/），也可以直接获取数据包。

重视弱口令问题：弱口令（空口令/默认口令）始终是安全的最大危害，而出现弱口令问题的主要原因则是人们存在懒惰与侥幸心理，因此一定要杜绝相关问题，最好是能用技术手段实现，例如 SSH 采用证书登录，第一次登录强制修改密码，定期扫描弱口令等。

很多系统初始化脚本都带有密码甚至是 root 密码，很多运维人员运行脚本后便将脚本放在服务器上不做删除，此信息如果被黑客获得，那么基本上意味着所有运行过这个脚本的机器全部沦陷，因此这种初始化脚本需要有自动删除的功能，或运维人员有运行脚本后删除的习惯，当然，带密码的历史命令也同样适用。