安全是有分量的

香港高防ip_服务器ddos防御_怎么防

2022-01-13 12:00栏目:创投界

香港高防ip_服务器ddos防御_怎么防

这篇文章的目的是详细说明将在linux计算机上执行什么类型的检查,以确定它是否符合PCI-DSS标准的安全要求。为了做到这一点,只要有可能,我将详细说明在每种情况下使用的命令。

然而,vps怎么防御ddos,虽然主要目的是审核是否符合PCI DSS,但建议的修订版可以作为您想要执行的linux计算机的任何安全审核的起点。

本文中的所有命令都已经在Ubuntu 12.04计算机上进行了测试,因此,有可能需要对其中一些进行修改,以便在其他Linux发行版上正常工作。我们可以使用lsb_release-a命令查看我们正在审查的系统的确切版本,或从/etc/os版本获得该命令。

要求1:安装并维护防火墙配置以保护持卡人数据

该命令iptables-L-v将显示系统中使用的防火墙规则。对于笔记本电脑,您应该检查是否符合安装和维护个人防火墙所需的PCI DSS 1.4。无论如何,您应该审查fw中定义的规则,因为在某些情况下,在不符合本标准其他要求的情况下,可以作为补偿控制。

要求2:不要使用供应商提供的系统密码和其他安全参数默认值

来验证是否符合本标准的某些方面根据要求,我们可以使用以下命令:dpkg-升此命令允许我们列出所有已安装的包,个人博客高防cdn哪个比较好,以便检测本应卸载的不必要的包。路线-n这个命令允许我们列出系统中定义的所有路由。此外,通过分析以下文件,我们可以确定它是否更改了系统的名称解析:/etc/resolv.conf文件/etc/主机/etc/nsswitch.conf文件此外,您必须检查下一个文件,我的世界防御ddos,以检测是否存在不必要的或预定义的用户帐户,这些帐户本应被删除或禁用:/etc/密码同样,您应该查看公司的强化指南,并确定应获取的任何其他证据,以确保其得到正确应用。

确定此服务器的主要功能也是很重要的,并使用评审来确定对该主要功能没有意义的包或服务。例如,如果主服务器的角色是充当web服务器,那么我们找到安装的apache软件包是有意义的,但如果我们找到Oracle或Nessus的软件包则不会安装。这些包的存在可能使我们怀疑服务器被用于多个主要功能,因此要求2.2.1不到位。

我们可以使用以下命令列出所有正在运行的进程和服务,监听UDP和TCP端口,以验证没有进程或不必要的服务运行和所有正在运行的都有充分的文件记录和证明:ps-预期违约频率lsof-i UDP-n-P协议lsof-i TCP-n-P协议我们应该检查此文件夹以检测计划任务:/var/spool/cron/crontab此外,我们审查此进程和服务列表,以确定不安全的协议(如FTP、Telnet等),并检查它们是否已记录在案,并为这些协议实施了额外的安全措施。

最后,为了完成此要求的审查,我们将检查以下文件以检查服务器上现有的SSH配置:cat/etc/ssh/sshd\u配置在这个文件中,我们可以验证SSH正在运行的端口、允许的版本(应该只允许v2,因为v1易受攻击)以及使用的加密协议,以确保该协议足够健壮。此外,您应检查AllowTcpForwarding的值是否为"否",除非有理由将此服务器用作管理其他系统的跳转服务器。

要求6:开发和维护安全的系统和应用程序

要检查此要求,我们必须验证系统上没有不安全的软件版本。为此,我们可以使用以下命令:找到对应内核版本此命令允许我们知道使用了哪个内核版本,最强防御cc,并验证该版本是否存在未知漏洞,或者换句话说,内核是否正确修补。另一方面,通过下一个命令,我们可以列出系统中安装的所有软件包及其版本,因此我们还可以检查系统中是否存在任何易受攻击的软件包。请记住,要满足此要求,高防cdn3元一月,必须为PCI DSS范围中包含的所有软件安装安全修补程序:dpkg-升最后,但同样重要的是,我们应该检查下一个文件,以验证没有开发人员或测试用户帐户。在生产环境中部署系统或应用程序之前,必须删除此类帐户:/etc/passwd

要求7:根据业务需要限制对持卡人数据的访问

为了验证是否符合PCI DSS要求7,您可以执行以下检查:/etc/苏多尔/etc/pam.d/sudo/etc/pam.d/su公司在这些文件中,我们可以检查哪些用户有权将其权限增加到root,以及在什么条件下可以增加权限。所有的案例都应该有适当的记录和证明。我们还应该检查下一个文件的烫发和任何备份,以确保不能为任何用户打开或编辑:/etc/阴影另一方面,我们应该检查setuide文件是否不能被未经授权的用户编辑以增加其系统权限。我们可以使用下一个命令:find/-perm-4000-ls 2>/dev/null下一步命令允许我们列出任何用户都可以打开或编辑且不在/proc文件夹中的所有文件:find/-type f-perm-006 2>/dev/null | grep-v/procfind/-type f-perm-002 2>/dev/null | grep-v/proc我们应该分析这些文件,以检查是否存在在每种情况下定义的特权的正当性。此外,我们应该查看下一个文件,以验证shell为每个帐户分配了什么:/etc/密码此外,我们还应查看下一个文件,以检查是否定义了对用户登录的任何限制:/etc/security/access.conf此文件允许限制某些帐户的访问类型。在示例中,您可以将其配置为禁止对根帐户的远程访问或对某些用户或应用程序帐户的控制台访问。最后,您应该查看下一个文件,以验证行"none*"是否存在且未被注释,以及是否存在没有正当理由具有额外功能的用户:/etc/security/capability.conf

要求8:识别和验证对系统组件的访问