作为 Linux（网络）托管服务提供商，您面临的常见安全问题

向拥有 PayPal 帐户或信用卡的任何人授予用户级别访问权限的做法本身就是一种疯狂。在过去六年的大部分时间里，我一直在托管行业工作，但我仍然觉得这很疯狂。

这是我为大多数服务器（共享或非共享）所做的列表，没有特定的逻辑顺序：

• 我几乎从不使用发行版提供的内核。我保留了我们自己的内核树，它与 Linux 主线保持同步……只要 grsecurity 允许。它不仅是一种安全措施，也是一种优化措施。你不会在我们的内核中找到类似并行/USB/音频支持的东西（因为网络服务器不需要它们）。内核被构建为仅使用我们需要的板上的东西。
• 9/10 坏事是由有缺陷的用户脚本造成的。许多客户知道足够多的 PHP 是危险的。mod_security 是我最好的朋友之一，我为强化规则集的订阅付费，并且几乎每周都会更新它们。
• 审计很重要，我也推荐使用 OSSEC 或类似的东西。
• 我的所有服务器都连接到维护 LAN，我可以独立于公共网络访问该 LAN。当/如果事情确实变糟并且您发现您的服务器忙于在整个 Internet 上发送垃圾数​​据包时，您会很高兴有另一种方式进入。我还在所有服务器上安装了 IP KVM，或者 IPMI，具体取决于硬件。
• 最近，我一直在使用 Xen 作为共享服务器的管理层。我创建了一个拥有 99% 系统内存的来宾。这使我可以轻松地进行文件系统修复/快照/等操作。如果出现问题，它可以真正帮助恢复（并且可以方便地从共享服务器中隐藏 LAN）。
• 我维护了一个非常严格的基于 iptables 的防火墙，在出口方面尤其严格。
• 我非常小心谁可以访问系统编译器和链接工具。
• 我虔诚地更新系统软件。
• 我会定期进行扫描，以确保人们不会无意中运行 Wordpress、PHPBB 等流行应用程序的旧版本和易受攻击的版本。
• 我提供免费安装客户“在 Internet 上找到”的东西。这确实有助于我审核托管的内容，同时为客户提供额外的价值。它还有助于确保安全、正确地安装东西。
• 始终、始终、始终强化 PHP，确保您也将 suexec 用于 PHP。没有什么比在“nobody”拥有的 /tmp 中找到一个机器人更糟糕的了 :)

最后，最后但并非最不重要的：

• 我实际上阅读了系统日志文件。只有在发现问题后，才会有如此多的主机运行来查看问题所在。即使使用 OSSEC 等工具，积极主动也很重要。

看起来其他人正在研究很多细节，但是恶意活动的最大来源必须是FTP。

将其锁定到某些 IP，为不需要它的帐户禁用它。除非有要求，否则甚至禁用服务。

在恶意代码上传到网站后，我不得不处理数十次黑客攻击，要么向世界发送垃圾邮件，要么通过 iframe 注入重定向访问者。他们很少获得 root 或 shell 访问权限，相反，它们只会导致大量手动清理服务器和手动搜索代码的工作。

黑客攻击的主要来源不是服务器本身，而是受感染的最终用户 PC，这些 PC 嗅探 FTP 密码并将其发送回母舰，然后稍后从另一台机器上用于上传代码。

我在一家网络托管公司工作了一段时间，确保所有用户的安全是一场噩梦。特别是在共享环境中。私有服务器更容易跟踪，因为安全问题仅与该系统隔离。

在共享主机上要记住的一些事项：

• 一个站点中的错误可能会影响所有其他站点。因此，请尝试限制每个用户可以执行的操作并限制权限。它包括ulimit，php限制等。
• 监控系统和各个站点。像 OSSEC 这样的工具可以非常方便地处理所有信息。
• Linux 内核对本地漏洞利用没有很好的跟踪。因此，请确保它始终更新并使用内核安全扩展（grsecurity、SELinux 等）。

对于私有服务器，您将安全性留给用户，但请确保在您的网络上安装适当的 QOS、NIDS 和反 DOS 工具。