如何做好Linux服务器安全维护

一、强化密码强度

凡是涉及到登录，就需要用到密码，如果密码设定不恰当，很容易被黑客破解，如果是超级管理员用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的成果。

很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。

二、登录用户管理

进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux操作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户操作。

三、账户安全等级管理

在Linux操作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。

四、谨慎使用r系列远程程序管理

在Linux系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。

五、root用户权限管理

root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

六、综合防御管理

防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口来过滤网络流量，而IDS更加具体，它需要通过具体的数据包来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

七、保持更新，补丁管理

Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。

配置nginx

#cookie_WASPostParam参数置空

if(cookie_WASPostParam != ""){set $cookie_WASPostParam "";}

注册一个账号，看下上传点，等等之类的。

用google找下注入点，格式是

Site:XXXcom inurl:asp|php|aspx|jsp

最好不要带 www，因为不带的话可以检测二级域名。

大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制，而且够独立地检查你的网络策略，一起来看看网站入侵渗透测试的正确知识吧。

简单枚举一些渗透网站一些基本常见步骤：

一 、信息收集

要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等

二、收集目标站注册人邮箱

1用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。2用邮箱做关键词,丢进搜索引擎。3利用搜索到的关联信息找出其他邮进而得到常用社交账号。4社工找出社交账号，里面或许会找出管理员设置密码的习惯 。5利用已有信息生成专用字典。6观察管理员常逛哪些非大众性网站，看看有什么东西

三、判断出网站的CMS

1:查找网上已曝光的程序漏洞并对其渗透2:如果开源，还能下载相对应的源码进行代码审计。

3搜索敏感文件、目录扫描

四、常见的网站服务器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

五、注入点及漏洞

1手动测试查看有哪些漏洞

2看其是否有注入点

3使用工具及漏洞测试平台测试这个有哪些漏洞可利用

六、如何手工快速判断目标站是windows还是linux服务器？

Linux大小写敏感,windows大小写不敏感。

七、如何突破上传检测？

1、宽字符注入

2、hex编码绕过

3、检测绕过

4、截断绕过

八、若查看到编辑器

应查看编辑器的名称版本,然后搜索公开的漏洞

九、上传大马后访问乱码

浏览器中改编码。

十、审查上传点的元素

有些站点的上传文件类型的限制是在前端实现的，这时只要增加上传类型就能突破限制了。

扫目录，看编辑器和Fckeditor，看下敏感目录，有没有目录遍及，

查下是iis6,iis5iis7，这些都有不同的利用方法

Iis6解析漏洞

Iis5远程溢出，

Iis7畸形解析

Phpmyadmin

万能密码:’or’='or’等等

等等。

每个站都有每个站的不同利用方法，自己渗透多点站可以多总结点经验。

还有用google扫后台都是可以的。

1现状（回想一个感到挑战的情形，像新闻标题那样，用一两个词写下来）

2记忆（回想一段童年的记忆。无需试图把它与你遇到的挑战情形相关联，第一个浮现在脑海里的记忆即可。）逐字逐句的记录在下面（包括你当时的年龄、就像此时正在发生一样，每行之间留一些空隙，如我记得岁时，有一次。。。）

3想法和决定（现在，回看记录下来的记忆内容，在间距空白处写下对每句话的想法、感受或决定，确保你的想法、感受和决定来自记忆当中那个年龄的你。决定的线索在于你的行动，你当时做了什么或者打算以后要做些什么？）

4童年决定表，在记录了你的记忆之后，做一些猜测，想想你会如何填写童年决定的表格。

我是。。。

其他人是。。。

世界是。。。

因此我必须。。。

5模式：那个决定如何体现在你的生活中，请举例。

6重写记忆、改变模式：假装你是一位**编剧，要给那段记忆重写一个剧本，如果你有一个魔法棒，你或者在那段记忆中的人，会做些什么不同的事或者说些什么不同的话？把它写成任何你想要的样子。

7新想法、新感受和决定：当你改写了记忆，你的新想法、新感受和新决定是什么。

我可以这样想。。。

这个想法可以让我感觉到。。。

因此，我为了达到。。。

我会想要做。。。

8未来景象：想象一下，你的新决定和行为在你未来的生活中将会如何上演，给自己选择，你的一手握着旧决定，另一手握着新决定，你会选择哪一只手？如果你选择了新决定，它会如何改变问题一中你所书写的情形？

第一个问题，挑战

前几天在工作中安全漏洞扫描之后，需要有人对linux服务器进行加固，补全漏洞；

我从没干过补漏洞的工作，也没有人可以依靠，觉得自己很孤单、无助。

第二步～回想第一个出现在脑海中的画面，用语言描绘画面。

在我大概6～7岁左右（我妹4～5岁，我弟2岁），我领他们去小卖部买东西。买完酱油后剩余几毛钱，我就买了几块糖。然后我当着卖货大娘的面，把糖给了弟弟和妹妹，我很享受自己手里拿着糖然后分给他们的感觉（糖在我手里，我说了算，我可以控制怎么分配）。我期待得到卖货大娘的夸奖，她如期的夸奖我＂彩云真懂事＂（在小店里分糖，就是为了获得别人的夸奖和认可）。然后我们出了门就回家了。在路上，我很想吃糖，但一直忍着没吃（别人刚夸了我，我是懂事的人，我要把好东西留给弟妹吃）。

第四步 童年决定表

我是 想得到别人赞美的人；我是压抑自己的人；我是可以用糖控制弟妹的人；我是虚伪的人，明明很想吃，但为了证明我懂事我很好，忍住欲望；我是一个委屈的人，我把好东西都留给弟妹吃，自己是一个好姐姐，不能吃这个好东西；我是一个有忍耐力的人，能很好的控制自己的欲望；。

弟妹是 有糖吃的人，是被控制的人，是无法掌控生活的人 。

售货员大婶是 评判不公正的人，她只看到我把糖分给弟妹吃，没看到我也很想吃；是功利的，有钱是可以合理控制别人的，别人喜欢表面看起来爱分享的 ；

我必须 压印自己真实的想法才能得到别人的认可，必须多挣钱才能掌控自己的生活；需要把自己隐藏起来，包装好才会得到别人的认可。真实的自己别人会不喜欢。也没有人在乎你真正在想什么，想要什么。他们看到的其实是他们愿意看到的。当我放弃证明我很好且我有用的想法时，我就自由了。

第五步 模式

对钱恐慌感很强，钱少了就不能掌控生活；

我喜欢把真实的自己藏起来，隐藏自己的需要和需求；

我喜欢装作不在乎别人的评价；想真的做到不关心别人的评价，但又时常被别人的评判和评价带走。

别人不关心真实的你是什么样，他们只愿意看他们想看的东西。

第六步 重写童年记忆

在我大概6～7岁左右（我妹4～5岁，我弟2岁），我领他们去小卖部买东西。买完酱油后剩余几毛钱，我就买了几块糖。然后我当着卖货大娘的面，把糖给了弟弟和妹妹。

售货员大婶说”彩云真懂事。我看到彩云你也很想吃糖，你吃就可以了，没关系的；你能带着弟弟妹妹出来买糖、你把你的糖先给弟弟妹妹吃已经很棒了。“

弟弟妹妹也说”姐姐，你想吃一块还是那一块？“。

我选了他们选完后剩下的一块，很开心的吃到了嘴巴里。糖非常甜，我很满足的带着弟弟妹妹回家了。

我要对自己说” 彩云，我看见了你，我忽略你很久了。我今天看见了你，当时的你是那么需要别人的夸奖和认可。现在我已经长大了，请让我来照顾你，我会经常来看你的 “。

第七步 新想法、新感受、新决定

我可以这样想： 我已经做的很棒了，我是一个爱分享的人，我第一时间想到的是弟弟妹妹；我是一个小帮手，我能帮妈妈买酱油，帮妈妈看弟弟妹妹；有人看到我也很想吃糖之后，我很高兴。在得到夸奖和肯定之后，觉得自己很棒。

这个想法让我感到： 我有能力帮到妈妈。我是一个有用的人。我还是需要别人的认可自己才会心安。

因此，为了达到  我可以有糖吃，为了达到不需要别人的评价我就能很好的做自己，真实的表达自己

我会想要做： 真实表达自己的需要；不委屈自己；自己可以完全的接纳自己，认可自己。

未来景象

反思

我为什么会想得到别人的认可？我为什么不能很好的认可我自己？

我不能很好的认可我自己，我感觉爸妈也不真正认可我。从小到大，我觉得爸爸总是把我当工具，是可以炫耀的工具，我为了让爸爸高兴，也愿意委屈自己做一些事情。我担心他不喜欢我。我一直想成为一个特别的人，我把自己标榜为爱读书的人、内心强大到不在乎别人评价的人，也是为了寻求安全感和优越感。寻求优越感的背后是深深的自卑感。

我的收获是我们 如何看待童年的方式，远比我们当时被如何对待更重要。 我们看待自己童年的方式，更能帮助我们重新调整情感模式。当我认知到这一点，就把养育孩子当成自己重新学习与重新修复人生的机会，时刻提醒自己要正面、温暖、有响应的对待孩子，如此不仅孩子能得到很好的成长，我本身也可能得到焕然一新的人生。

人生就是一场创伤的盛宴。 每个人都在受原生家庭的影响，或多或少，或不自觉的延续原生家庭的模式，或有意识的远离原生家庭的束缚。只要你的情绪和心情还被原生家庭影响，你就没有脱离原生家庭的束缚。需要学会和原生家庭和解。

渗透测试流程

前渗透阶段

信息搜集、漏洞扫描

渗透阶段

漏洞利用、OWASP Top 10、web安全漏洞、中间件漏洞、系统漏洞、权限提升、Windows/Linux、第三方数据库、番外：处理WAF拦截

后渗透阶段

内网渗透、内网反弹（端口转发、端口复用）、域渗透、权限维持、系统后门（Window/Linux）、web后门（webshell、一句话木马）、痕迹清除、系统日志、web日志(IIS、Apache)