如何测试我的服务器的安全性？

Question

如何测试我的服务器的安全性？

请我知道这是太笼统的问题。但我想知道是否有测试软件或网络服务检查您服务器的所有端口，或者可能存在安全漏洞？

我通常会检查 unix 权限，仅此而已，但是我可以做些什么？

附：用户无法使用我的 Web 应用程序上传文件，所以我没有这个问题。

Answer 1

根据您的标签，以下是一些基本建议：

操作系统 (Linux)

• 应用更新/安全补丁，包括内核
• 用于检测文件/权限更改的校验和工具，例如 aide、fcheck、tripwire 等。
• 仅启用您实际使用的网络服务（检查 netstat -tulpen）
• 理智的用户定义：谁拥有 root 访问权限？
• SSH：禁用直接 root 登录
• 硬件或软件防火墙

PHP

• 使用强化的 PHP (Suhosin)
• 在网络上搜索 PHP 中的安全最佳实践

MySQL

• Eiter 让它使用 Unix 套接字或通过 TCP 运行，但只能在本地主机/您的 LAN 上运行
• 定义root密码
• 为每个不同的应用程序定义受限用户

这只是在 2 分钟内写下的纯粹基础知识。那里有很多更多。