2. 站务专区
  3. 数据安全与服务器安全方面,一点建议

建议 跟进中 数据安全与服务器安全方面,一点建议

zdw 2024-07-06 13:05 8673 只看Ta

去弄个不太辣鸡的vps,大概几十就可以了。

数据库实时同步,不知道背后是mysql还是mssql,不过都有类似功能。

每天定时执行:数据库打包备份

每小时或者每天同步一次整站文件,包括附件,周期性打包。


被黑?

所有web程序文件路径可读取可执行不可写(linux是750或者755,win是只读,更复杂的可以看高级文件系统安全里面的东西),所有附件路径可写可读不可执行(linux600或者660,win可以读写,不可执行(需要高级属性里面设置))。

php或者类似语言的运行环境做一下jail,web服务器以及win的进程池不要以root/system运行。

数据库连接ip限制一下。

不相干的端口关了,ssh/rdp端口限制一下ip范围。

这一套下来,什么吊毛黑客,你让他来试试。



最后于 4月前 被Eddie wang编辑 ,原因:
收藏的用户(0 X
正在加载信息~
最新回复 (16)
  • zdw 楼主 4月前 只看Ta
    0 2

    更进一步可以参考我的 https://www.tingtao.org/archives/3384.html



    上传的附件:
  • zdw 楼主 4月前 只看Ta
    0 3
    没那么大,前两年我扫过全站附件*^_^*,印象中也就十几个g还是二十几G。单纯搞个垃圾vps做数据存储,几十G的数据量,几十块足够了。
    我有个物理机不到200,都2t的固态盘,现在服务器很便宜的
  • zdw 楼主 4月前 只看Ta
    1 4
    GLWCNM 既然那么便宜,那楼主你何不直接捐助一点?建议来建议去的有何意义?你直接捐助论坛不就好了?反正你自己说的便宜!

    我不干,他也不会接受。


  • zdw 楼主 4月前 只看Ta
    0 5
    看来都接触不多吧。8美元,1t的盘,1g的带宽,不限流量,还是物理机不是虚拟机,遍地都是,6美元2t的盘,vps,也有的
    很贵么?
    我自己用的3代e3,32g内存,企业级1t * 2固态盘,物理机,也不到20美元。
    理想化不理想化的,结论性的话就别轻易讲出口了。
  • zdw 楼主 4月前 只看Ta
    0 6
    而且,文件同步是增量,又不是每次一个完整包,rsync这种运用几十年的小工具,也算常识了。增量打包,tar之类的本身就可以把若干时段以来新增/修改过的文件进行增量打包,似乎也比较常识。
    数据库做实时复制的话,打包的时候就是在备份机上面本机打包了,并不占用带宽,数据库自身就有的实时复制功能我不记得有多久,但早在90年代我是用过的。

    理想化,还过于?不至于吧?
  • zdw 楼主 3月前 只看Ta
    0 7
    你这么慷慨,为何又要慷他人之慨呢?你为什么不资助?
    什么叫要求?我提过任何要求?请你指出。
    建议而以,不接受无妨,那你又做了什么?慷慨?
  • zdw 楼主 3月前 只看Ta
    0 8
    你是谁?
    是不是提个建议都需要你许可?
  • zdw 楼主 3月前 只看Ta
    0 9
    你复制那么多,只是我说的一部分。。。
    我提过了实时复制,周期性打包,增量同步,等等。
    数据库增量备份,没意义,最好是完整打包。但一定要做,倒也简单。
    公网主从,我做过比较极端的是美国西部到国内中原地区,延时半秒以内。但备份若放在国内的问题在于带宽贵,且遇到灾难性故障的时候无法快速恢复,无法最大限度缩减离线时间。我这两天核实了一下我所说的备份机的成本,美国的话,6美元2T的盘,g口,几个t流量,足够。8美元的物理机,g口,1t的盘,欧洲。我之前所说的成本,没毛病。
    rsync主要针对于文件系统,不适用于数据库。
    被攻击,他前面挂了cdn的,这个可以无视。他应当担心的是入侵,这个我已提供应对方案。
    备份机应当异地,且不提供对外服务,说白了就是一个月两包烟钱,换一个极端情况下的后手,不至于像btbtt那样出点事就一切归零。

    付诸实践,说得好,我算是第一批职业黑客,20多年了,也算是第一批信息安全从业人员,也有19年。人外有人这个话,在这个领域,不适合我。
    也不必觉得运营那么多年就一定深谙此道。从我观察到的现象来推测,在技术支持方面,此站提升空间还是挺大的,不仅是数据安全,我看到的挺多。
    就说眼前可见的,不管是程序崩了还是操作系统崩了,连后手都木有,这不是一个所谓的团队该有的水准。
  • zdw 楼主 2月前 只看Ta
    0 10
    august 有些东西想想是好的,要真付诸实践,不是张口就来的。山外有山人外有人,BT团队运营那么多年,我不相信技术上没有考虑过你说的这些,毕竟不是运营团队的人都无法了解网站具体的真实情况。
    一个月下来,看看中断多少次吧,你对你说的“BT团队运营那么多年,我不相信技术上没有考虑过你说的这些,毕竟不是运营团队的人都无法了解网站具体的真实情况”,你可还有这份自信?

    我曾有个公司,就是做这些服务器、vps这类的,出售之前也是做到经济大省第二名了,你所说的人外有人这种话,在我面前就别说了,不合适。
    外行当然了解不到,但没必要怀疑没人能做到。

    我所说的方案,成本无非就是几十元,甚至如果有多个节点的话,互为主备,可能这两包烟钱都省下来了。实现的效果呢,最大限度降低离线时间,昨天还是前天,好像断了十几个小时吧,错误码是500,这是web自身问题。
    更进一步,一个小小的脚本,就可以实现异常情况几秒内全自动切换,除去dns缓冲的时间,也就是几分钟内自动恢复,这在内行来说并不难。

    我自己最近把物理机准备撤了,也买了个2t的vps这几天在迁移数据,5美元/月,不到40人民币,很贵么?
  • zdw 楼主 2月前 只看Ta
    0 11
    august 有些东西想想是好的,要真付诸实践,不是张口就来的。山外有山人外有人,BT团队运营那么多年,我不相信技术上没有考虑过你说的这些,毕竟不是运营团队的人都无法了解网站具体的真实情况。
    也不用怀疑我说的全自动,早些年给一个客户做的网游方面的东西,也有某正规交易所的客户用了,全自动主备切换,秒级,不难的。
    内行了呵呵,外行跑断腿,这就是差距