1
imnpc 2015-05-06 21:50:57 +08:00 1
我只能提点建议,做安全维护太累,钱少了也没人愿意做
1.不要采用那些免费的一键安装环境,采用DA面板 CGI模式安装php 后台可以用自带的备份系统每天备份 同时每个站点都是严格的权限分离,DA国内大约350~400 永久授权. 2.论坛附件采用FTP或者阿里云 又拍云 七牛云 这样的存放模式 3.严格按照DZ官方要求 设置每一个目录权限 4.安装流量统计系统 统计每日流量 5.服务器采用密钥文件登录 |
2
GeekTest 2015-05-06 21:53:07 +08:00
出门左转,各家的CDN,不谢
|
3
unixbeta 2015-05-06 21:59:34 +08:00 via iPhone
php权限最重要
可以联系我们 |
4
willis 2015-05-06 22:24:30 +08:00 via iPhone
不介意是个人的话,可以联系我,六年运维
|
5
FifiLyu 2015-05-06 22:46:02 +08:00
出问题了,才想起找专业运维。这是个坑啊!
说白了,就是不重视。临时找,费用肯定不便宜,钱又少没人做。 |
6
scys 2015-05-06 22:52:46 +08:00
感觉怎么说都别扭~可是又想说点啥。
来个酱油吧: 1. 和团队合作靠谱程度高; 2. 个人合作,短中期都行,长期难度高; 3. 觉得你说明的环境,很难解决实际问题,主要是不被重视。 |
7
willis 2015-05-06 22:55:47 +08:00 via iPhone
补充下一楼的,说下我们生产中的配置
1.nginx lua-waf 配合limit-req limit-conn防web攻击和cc 2.严格限制目录权限,关掉不必要的php函数和扩展,设置好open based dir防跨目录 3.系统内核打好䃼丁,把nginx php-fpm用chroot降权运行,设置最小权限 4.任何密码都不要用弱口今,用iptables 限制好进出的流量 5.dz不安全多数是插件的问题,配置可以按照官方文档检查下 6.备份备份备份 其实设置不多,楼主自己配置也花不了多少时间,还可以自我提高 |
8
Phant0m 2015-05-06 22:56:50 +08:00 via Android
服务器监控搞起来,做好日志采集,定期备份检查,关注Web安全动向,提高安全意识。
具体细节如果需要可以联系我,我给你一些规范文档 |
9
tangooricha 2015-05-06 23:15:42 +08:00 1
LZ就是典型的平时不烧香,临时抱佛脚,关键是还分不出哪只脚是佛的那种类型!
|
10
my101du OP @imnpc
1. 我们安装的军哥一键lnmp,因为发现运维同事自己编译的环境,要么版本有问题对web程序支持不好,要么后来才发现都没有写disable_functions 的……,希望能把更多精力放在业务上 2. 几百G的文件,要好多钱,公司IT部不是赚钱部门,呵呵。不过接下来我就算顶着压力也要上云存储了 3. 都设置了,文件444,目录555,可写的附件目录755,应该是最小了 4. 这个用监控宝或自己iftop看的,可能不是很及时 5. 谢谢提醒,之前没注意 @GeekTest 之前我们用过加速乐、确实看到每天帮阻断了很多扫描和攻击,但是因为机器在国外,加了CDN后,反而有时候百度蜘蛛会说无法连接你的网站(特别有时候晚上),运营部同学说会影响收录于是关闭了。现在已经重新加上了CDN,但事情已经发生了,黑客好像都已经拿到了更高权限了 @FifiLyu 唉……理解下IT部门是公司非赚钱部门的打工狗吧,不是所有公司都是BAT那么有钱和配备齐全…… @willis 您说的,部分做了,但没有做的这么全面。您应该对discuz了解很多吧。 可以联系我 24七9八4五191,请赐教,费用方面详谈,和boss讨论下,双方都觉得合适就行 @Phant0m 谢谢您的热心,这些文件我有搜集过,但确实没有这么多精力,特别有时候人员变动,招聘运维很麻烦(我是偏产品的所谓部门主管,专业能力不强) |
11
my101du OP @tangooricha 批评得是,虚心接受。
|
12
Showfom 2015-05-07 04:05:34 +08:00 via iPhone 1
一个网站一个VPS
可以最大程度上避免跨站攻击 |
13
Septembers 2015-05-07 05:19:27 +08:00 via Android
@Showfom 前端再布置个反向代理记录日志,妥妥的
|
14
Septembers 2015-05-07 05:23:50 +08:00 via Android
安全临时做做不起来,
安全是长期投入而且看不见回报的感觉很透明, 但是不做,出了事又觉得安全很重要, 然而 亡羊补牢 为时以亡 |
15
ryd994 2015-05-07 05:41:20 +08:00 1
@my101du 为何不用官方rpm?即使有特别需求,也应该rebuild官方SRPM
加速乐报的那些扫描攻击之类的都是很弱智的随便乱扫的,参考安全卫士报的都是什么级别的漏洞,小白产品都一样 安全有多大用只有做安全的自己知道,无过即是大功 |
17
can 2015-05-07 10:03:04 +08:00
小白的话装个安全狗就把这问题解决了,有那么麻烦?
|
18
mcone 2015-05-07 10:05:35 +08:00
关注。个人建议楼主找一家专业的企业或者团队负责这个好一点,签个合同啥的;找个人的话,总觉得靠谱的可能性比较低。如果楼主找到了欢迎分享下
这方面确实是很大的问题,大家都不重视呢。平时没问题的时候boss认为是理所应当了,设置不愿意给运维发钱;出了问题想找人了,都已经成了烂摊子了,谁愿意去接手(并且估计给的钱还是不会多)。 找“只差一个安全运维方面程序猿”的,比那些找“只差一个创业程序猿”的,不懂还舍得花钱的小白只会更多。 大部分无脑boss还是只看表面,喜欢头疼医头脚疼医脚的那种,而不是防微杜渐从不出错的那种。悲哀。祝这些boss早日玩垮自己的站点 [最后一句好像有点毒,想想只送给那些罪大恶极的吧 |
19
mcone 2015-05-07 10:08:25 +08:00
Para.2 设置不愿意 -> 甚至不愿意
Para.3 不懂还舍得花钱的小白 -> 不懂还**不**舍得花钱的小白 唔,曾经被迫干过俩月类似运维的岗,电话24h不关机那种,后来果断走人了。拿着卖白菜的钱,操着卖白粉的心,开什么玩笑。 看到这个话题有点小激动,嗯嗯,冷静下。 后来那家好像网站搞成纯html还被挂了一堆黑链,嗯 |