标签: security

许多文章建议使用PermitRootLogin noin为 root 用户停用 ssh /etc/ssh/sshd_config。关于实现root ssh停用的serverfault也有很多问题。

但这样做的动机是什么？

它使攻击者另外猜测用户名。但是公私钥和 RSA 加密的加密强度不应该足够吗？

我问的不仅仅是出于好奇，而是因为使用非 root 用户需要在 ansible 使用方面进行额外的权衡：（pipelining兼容性）或allow_world_readable_tmpfiles（安全性）。

我昨天被黑了，出于某种原因，我认为我在我的服务器上一遍又一遍地做的这件事可能有一些缺点，这个问题可能会被弃用，但我需要简单的答案，因为我曾经做过这种做法，以防万一很糟糕，为什么有答案得到了很多人对这种做法的支持？

sudo chown www-data:www-data /var/www -R
cd /var/www
sudo find . -type f -exec chmod 664 {} \;
sudo find . -type d -exec chmod 755 {} \;

所以我只需要像这些命令一样简单的东西来保护我的服务器。谢谢

该问题被标记为重复，但我的受感染服务器并未结束，我正在谈论另一台服务器和特定主题。

我发现我的网站所有的java脚本现在都被删除了！！！！我该怎么办？？？

假设您有一台运行不安全软件的服务器，并且您必须使其可公开访问，那么哪些端口对于在 Internet 上提供该服务是“最安全的”。“最安全”是指最不可能被端口扫描和探测漏洞的可能性。

我最初的想法是使用低于 1024 且不用于任何已知服务（例如 471/timbuktu）的端口，因为它们永远不会在常规使用中被访问，并且探测它们会揭示潜在的恶意意图（与探测器的兴趣相反）。

请注意，互联网端服务端口将由防火墙选择 - 服务器上的服务端口会有所不同（并且，值得注意的是，该服务不会以 root 身份运行）。

感谢阅读 - 感谢您的想法。

布赖恩

编辑：

1. 当然，这是通过默默无闻的安全性。这就是为什么这个问题有默默无闻的标签！;)它是通过默默无闻的安全性与我正在寻找的内容无关。虽然对安全知识知之甚少的路人指出明显的问题可能会有所帮助，但它并没有回答问题或进一步讨论。我希望通过默默无闻来强调对安全性的关注是因为我的问题措辞不当。

2. 已经给出的答案都没有真正帮助我。为什么 10000 以上的端口更可取？我希望相反。这些是从消费者机器发出的 TCP 连接所使用的端口，因此在较高端口上，异常连接到这些端口的信噪比要低得多。因此，攻击者在扫描较低端口时被检测到的期望更高，并且攻击者使用所述高端口或扫描它们的动机更高（尽管与例如NMAP 的顶级端口相比，流行的服务端口）。但是，高端口的数量更多，因此问题在于，对于未使用的服务，扫描命中不明显的高端口的概率是否低于命中低端口的概率。我认为这是一个经验数据问题。

3. 互联网端连接端口可以在 1024 以下使用 NAT。这就是相关的端口。内部端口无关紧要，因此应用程序不会以 root 身份运行（管理员权限等）。即使它确实以 root 身份运行，它也可能被 chroot'd/jailed。

4. 敲端口是个好主意。尽管这是一种以隐写方式隐藏服务的创造性方法（从而降低服务发现的可能性），但不幸的是它并没有回答这个问题。谢谢你的建议。

5. 怎样才是真正的帮助（这是罪恶之四无问题的），将是对哪些端口正在与探讨SYN /连接，什么有效载荷发送到蜜罐，等等。这是更广泛，但它确实有些emperical数据更多什么会有所帮助。

编辑6：了解那些未使用的端口（即 <1024 且未分配给服务，例如端口 4、6、8、10、12、14、15、16 等）是否被扫描过将很有价值。如果您查看防火墙日志，您是否看到正在探测未分配的服务端口？

再次感谢。

编辑只是为了清楚起见，在这种情况下，“最安全”本质上是对端口扫描间隔的度量。问题中暗示的漏洞是对尚未部署补丁的服务的利用。如果你理解我的意思，如果一个端口的间隔时间大大大于部署修复漏洞的补丁的时间，那么它是“更安全的”。因此，如果 ssh 守护进程中存在远程漏洞利用，则端口 60001 比 SSH 端口 22 更安全，因为端口 22 作为默认 ssh 端口将更频繁地扫描安全外壳守护进程（和相应的漏洞利用），因此时间更少在潜在的远程利用尝试之间部署补丁。这是本次调查的初衷，希望这篇评论对您有所帮助。

是否可以根据目标的 IP 地址阻止端口 443 上的流量，或者是否已加密？

我相信我已经非常安全地设置了我的代码，它验证和清理用户输入，因此它是安全的，等等。

那么我需要SuHosin吗？（这是 PHP 的安全添加/补丁）

如果我的代码已经安全，它对我有什么帮助？
例如，我读到 SuHosin 有助于防止远程包含，但如果我的代码首先不使用远程包含，那怎么会是威胁？

我希望删除非关键包以限制潜在安全漏洞的暴露。

我从不使用 Ruby。

删除 Ruby 会增加安全性还是会破坏系统的其他部分？

在哪里可以找到定期更新的可下载 TCP 和 UDP 端口列表，这些端口通常被恶意软件、特洛伊木马等使用？

这用于导入 IT 资产管理系统，以帮助识别可能需要注意的设备，安全方面。

我一直在环顾四周，并试图找出保护我的几个网站的最佳方法。

除了明显的站点日志手动监控和禁止极端/可疑活动之外。我看过很多关于禁止用户代理的帖子等。这是一条好的下山路线吗？是否也是一个更好的主意，而不是禁止已知的不良用户代理，只允许常见的主流用户代理，如 IE、FireFox、Safari 和 Chrome？

http://www.javascriptkit.com/howto/htaccess13.shtml

我有一台 CentOS 6.0 下的 SVN 服务器，我想知道是否有办法防止用户将 svn checkout 文件传输到另一台计算机或数据存储？

或者只是类似于加密模式，只能在有密钥的计算机中读取。

非常感谢。

维尼修斯