配置服务器安全策略-防止企业用户数据被人为泄漏.docxVIP

企业的数据是一个企业多年业务的积累，是企业宝贵的财富。对于互联网企业，更是他的生命线。同时，随着互联网的实名制推进，保护数据不被泄露越来越重要。本文以Linux为例介绍一种运维策略，通过使用“桃源监控室”软件，实施一套等同于银行级的安全防护措施。

第一步建立保护域

保护域是多个需要保护的服务器集合，他们之间可以自由的访问，传送数据。但是对于保护域之外的主机，只允许数据传入，不允许传出。（以下步骤未特别说明，均采用root用户执行）

防火墙的配置示例如下

[root@tp~]#iptables-PINPUTDROP#默认禁止一切通信传入

[root@tp~]#iptables-POUTPUTDROP#默认禁止一切通信传出

允许sshd和ftp服务。

[root@vmleman~]#iptables-AINPUT-ptcp--dport20-jACCEPT

[root@vmleman~]#iptables-AINPUT-ptcp--dport21-jACCEPT

[root@vmleman~]#iptables-AINPUT-ptcp--dport22-jACCEPT

[root@vmleman~]#iptables-AOUTPUT-ptcp--sport20-jACCEPT

[root@vmleman~]#iptables-AOUTPUT-ptcp--sport21-jACCEPT

[root@vmleman~]#iptables-AOUTPUT-ptcp--sport22-jACCEPT

允许保护域内的其他主机互访（可选，主要根据业务需要配置）。

[root@vmleman~]#iptables-AINPUT-ptcp--srcx.x.x.x-jACCEPT

[root@vmleman~]#iptables-AOUTPUT-ptcp--dstx.x.x.x-jACCEPT

(其中x.x.x.x是保护域的其他主机IP地址，每个主机加两条，INPUT和OUTPUT对应）

最后，运行serviceiptablessave命令，保存配置。

第二步配置ftp传入策略

有时候，我们需要将外部文件传入到服务器上。不过也需要配置一个严密的安全通道。

配置vsftpd.conf，添加匿名用户权限

1）确保匿名用户主目录及其子目录对普通用户没有写权限。

匿名用户所在目录（/var/ftp/）任何人都可访问，相当于外部环境，因此不允许一般用户写入，否则数据将会传出。

[rhel5@vmlemanftp]$ls-ld`find/var/ftp/`

drwxr-xr-x3rootroot40962011-09-08/var/ftp/

drwxr-xr-x2rootroot40962007-12-13/var/ftp/pub

CentOS系列默认就是没有写权限的，基本不需要修改。

2）在匿名用户主目录下创建upload目录，属主改为ftp

[root@vmleman~]#mkdir/var/ftp/upload

[root@vmleman~]#chownftp/var/ftp/upload/

3）配置vsftpd.conf，添加匿名用户权限

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_umask=022

设置umask是为了防止创建其他用户可写的目录，产生安全漏洞。

任何人都可以用ftp将文件放到upload目录下，登入到系统后，再从这个目录下拷贝内容即可。

告诉你的员工，在ftp文件传输时使用port模式

第三步使用41putty管理系统

41putty是经过特殊处理的putty软件，你的员工使用41putty登入服务器后无法下载文件和复制内容到本地电脑。

在41putty官方（）申请后，你将得到一个定制的41putty软件和一个私人密钥。

你用这个密钥将登陆口令加密后告诉你的员工，他将使用加密后的口令登陆，因此你们员工并不知道真实的登入口令。

最后，使用如下命令，禁止普通用户修改密码：

chmodg-r,o-r/usr/bin/passwd

第四步使用桃源监控软件管理数据库

使用41putty基本满足大多数运维需求，但由于他是命令行界面，对于管理数据库可能不方便。

因此可以使用桃源监控室软件（dbeaver），它是一个图形界面的数据库管理工具，支持主流的数据库。

db