如何限制软件访问文件范围,阻止越权访问
常用的服务器软件几乎都存在安全漏洞(如:MySQL、Apache、Serv-U、SQL Server、Nginx、Tomcat等等)。并且这些软件基本都以最高管理员权限运行,一旦暴出漏洞,具有非常高的危险性,不法分子可以窃取数据或植入恶意文件。
那如何解决这个问题呢?
要解决这些软件的安全问题,更新软件版本到最新是必要的。但仅更新版本还不够,因为先有漏洞后有补丁,也就是这个方法具有滞后性。我们还应该限制这些软件文件访问权限,只允许其访问最小范围的文件,尤其不能访问cmd.exe、net.exe等高危文件。
要限制软件访问文件范围的功能,必须使用第三方安全软件实现,而且此类安全软件非常非常少(主要功能太小众了,使用传统的防篡改功能无法满足需求)。幸运的是,你可以使用《护卫神.防入侵系统》的“进程防护”模块来实现,其可以限制软件的网络通信行为和文件访问行为(如下图一)。
温馨提示:本文以Windows系统为示例, 护卫神.防入侵系统同时支持Linux系统
(图一:软件进程防护)
如下图二所示,设置Nginx除了执行PHP、自身以及系统必须文件外,对所有文件都“禁止执行”,可有效阻止黑客提权入侵。
(图二:限制Nginx禁止执行服务器文件,阻止提权入侵)
你还可以在此规则上进一步优化,例如限制只对网站目录和自身目录才有写权限(如下图三),将文件访问范围进一步缩小。
(图三:添加文件访问范围)
设置起来是不是非常简单,但安全性提升却非常高,即使软件爆出各种新漏洞,也不担心破坏服务器了。如果你也有此需要,赶紧部署《护卫神.防入侵系统》吧!
原文:如何限制软件访问文件范围,阻止越权访问