[問題] 對於網管的新手 作業系統的建議

看板NetSecurity (資安 資訊安全)作者 (奔放的旋律)時間13年前 (2011/01/14 08:40), 編輯推噓9(9055)
留言64則, 10人參與, 最新討論串1/1
最近開始要管系上的server 不知道哪個系統比較好? 比較不會被攻擊... 學校只有買 windows 2003 server 還是另外架一個Linux的會比較好 謝謝^^ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.165.75.237

01/14 08:46, , 1F
我遇到的攻擊面積來說都是by協定及ap…Orz…系統關聯小
01/14 08:46, 1F

01/14 08:49, , 2F
感謝
01/14 08:49, 2F
※ 編輯: promiselove 來自: 118.165.75.237 (01/14 08:57)

01/14 09:03, , 3F
這樣講好了 目前這台server一直持續遭受到攻擊...
01/14 09:03, 3F

01/14 09:04, , 4F
Hacked By 03storic Infected Security Team
01/14 09:04, 4F

01/14 09:06, , 5F
上面這個團隊 大概兩三天來一趟 我這個新手很無奈...
01/14 09:06, 5F

01/14 15:59, , 6F
server遭受攻擊很正常阿..Orz
01/14 15:59, 6F

01/14 15:59, , 7F
會不會被攻擊跟使用的作業系統沒關係吧
01/14 15:59, 7F

01/15 00:16, , 8F
看上面跑的service有什麼吧 ? 2003有更新到最新patch嗎?
01/15 00:16, 8F

01/15 20:00, , 9F
內部:2003 外部:Cent OS
01/15 20:00, 9F

01/15 20:03, , 10F
如是跑www真的不建議win的東西...太容易被當箭靶了 XD
01/15 20:03, 10F

01/17 18:43, , 11F
ap 問題大...
01/17 18:43, 11F

01/19 22:55, , 12F
架構要設計DMZ跟Reverse Proxy當作Web的前端
01/19 22:55, 12F

01/19 22:56, , 13F
這樣後端不管是跑 IIS 或者 Apache 都OK了
01/19 22:56, 13F

01/19 22:57, , 14F
http://0rz.tw/MQFXO 這是我的實作 當然只是稍微隨手寫
01/19 22:57, 14F

01/19 22:58, , 15F
http://0rz.tw/M2lGo 之前隨手畫的架構圖
01/19 22:58, 15F

01/20 00:57, , 16F
這種被攻擊通常跟你跑IIS還是Apache都沒關係
01/20 00:57, 16F

01/20 00:57, , 17F
問題十之八九都在你寫的網頁程式本身
01/20 00:57, 17F

01/20 00:58, , 18F
當然也不是去調防火牆或作NAT就可以解決的
01/20 00:58, 18F

01/27 00:27, , 19F
同意luciferii的說法。
01/27 00:27, 19F

01/27 00:28, , 20F
你的首先步驟應該是先判斷攻擊手法
01/27 00:28, 20F

01/27 00:28, , 21F
找出真正被打的原因,再來想對策。
01/27 00:28, 21F

02/09 20:43, , 22F
一般來說 Reverse Proxy 可以阻斷不少的攻擊
02/09 20:43, 22F

02/09 20:44, , 23F
事實上跟OS的平台或者NAT無關 有關的是你的服務建置架構
02/09 20:44, 23F

02/09 20:44, , 24F
而我那篇文章並不是強調NAT的功能 而是講求Reverse Proxy
02/09 20:44, 24F

02/09 20:45, , 25F
只是順道提了一下NAT的部分而已~~~
02/09 20:45, 25F

02/09 20:45, , 26F
Reverse Proxy是可以提供外部與內部web之間的橋樑
02/09 20:45, 26F

02/09 20:45, , 27F
而web server不提供外部 而是透過Reverse Proxy來提供
02/09 20:45, 27F

02/09 20:46, , 28F
就算被攻擊 也只是Reverse Proxy垮台 並不影響Web Service
02/09 20:46, 28F

02/09 20:46, , 29F
而可以在Reverse Proxy當中下達ACL以及Filter部分
02/09 20:46, 29F

02/09 20:47, , 30F
像IIS的就可以透過Reverse Proxy中的設定 阻擋code red
02/09 20:47, 30F

02/09 20:48, , 31F
當外部使用者要求Reverse Proxy下達Code Red的字串
02/09 20:48, 31F

02/09 20:48, , 32F
而Reverse Proxy可以從中阻斷這些有害的字串
02/09 20:48, 32F

02/09 20:48, , 33F
如此在內部多台的web server當中~ 只要在Reverse Proxy
02/09 20:48, 33F

02/09 20:49, , 34F
當中設定就好 不用在整個Web Server Group來一台台設定
02/09 20:49, 34F

02/10 12:51, , 35F
樓上觀念錯誤,AP的問題簡單講就是直接打到裝AP程式的平
02/10 12:51, 35F

02/10 12:51, , 36F
台本身或者是DB主機本身,跟有沒有過Reverse proxy無關
02/10 12:51, 36F

02/10 12:52, , 37F
問題不在Web Server本身的安全性
02/10 12:52, 37F

02/11 09:05, , 38F
不是觀念的問題 而是簡單來說 架構上的問題而已
02/11 09:05, 38F

02/11 09:06, , 39F
網頁程式當然有舉足親重的部分 這點不可否認
02/11 09:06, 39F

02/11 09:07, , 40F
應該可以發現架構以及Reverse Proxy可以增強原有的安全性
02/11 09:07, 40F

02/11 09:07, , 41F
若你設定三層DMZ~ 這樣的架構下 會安全不少就是了
02/11 09:07, 41F

02/11 09:07, , 42F
當然網頁程式碼是很重要的 只不過系統安全這部分
02/11 09:07, 42F

02/11 09:08, , 43F
或者是service套件的安全性上頭 在於架構上防護會比較簡單
02/11 09:08, 43F

02/11 09:08, , 44F
除非你有能力重新編譯與撰寫整個IIS 那麼IIS的安全性
02/11 09:08, 44F

02/11 09:08, , 45F
應該就會加強不少了... 只可惜若真的會這樣做的人 不多
02/11 09:08, 45F

02/11 09:08, , 46F
真的這麼強 應該就可以去微軟工作了說 呵呵
02/11 09:08, 46F

02/11 09:09, , 47F
我的觀念是針對服務這個部分 當然有鎖就有門 無庸置疑的
02/11 09:09, 47F

02/11 09:12, , 48F
若有門不鎖 那就別講安全性了
02/11 09:12, 48F

02/11 09:13, , 49F
這樣講好了 你網頁程式碼再怎麼安全 而服務這部分不安全
02/11 09:13, 49F

02/11 09:13, , 50F
也是沒用的~~~ 而服務安全 架構不安全 也是沒用的
02/11 09:13, 50F

02/11 09:14, , 51F
畢竟系統是一個基礎 作業系統的安全性也很重要的
02/11 09:14, 51F

02/11 09:14, , 52F
我想我們都偏離主題太多了 呵呵 安全這個議題很大就是了
02/11 09:14, 52F

02/11 09:14, , 53F
安全的議題 可以從 點 、 線 、 面 一直延展探討的部分
02/11 09:14, 53F

02/11 09:15, , 54F
我覺得觀念錯誤與否 不要直接批評 而是要廣泛討論就是了
02/11 09:15, 54F

02/15 18:08, , 55F
你設定三層DMZ...你的會先把網管搞死...
02/15 18:08, 55F

02/15 18:10, , 56F
還在攻擊 IIS 那個是2001年的事了...
02/15 18:10, 56F

02/15 19:04, , 57F
我就沒被搞死啊~~~ PS: 我就是網管 XDDD
02/15 19:04, 57F

02/15 19:05, , 58F
我只是舉例IIS的案例而已 那只是冰山一角就是了
02/15 19:05, 58F

02/15 19:05, , 59F
就好比機房門禁 沒做好 一樣也會被弄
02/15 19:05, 59F

02/15 19:05, , 60F
所謂的最強的駭客 其實強項在於 社交工程
02/15 19:05, 60F

02/15 19:07, , 61F
而不是所謂的這些技術層面的部分
02/15 19:07, 61F

02/15 19:08, , 62F
記得一句話 No system is safe....
02/15 19:08, 62F

02/23 20:41, , 63F
兩個都不錯呀,一個要花錢好設定,一個免錢但觀念要正確
02/23 20:41, 63F

02/23 20:43, , 64F
windows's ISA Server V.S Apache's Mod_security
02/23 20:43, 64F
文章代碼(AID): #1DBvkLp9 (NetSecurity)
文章代碼(AID): #1DBvkLp9 (NetSecurity)