10秒后自動(dòng)關(guān)閉
如何限制軟件訪問文件范圍,阻止越權(quán)訪問(利用cmd.exe命令提權(quán))

常用的服務(wù)器軟件幾乎都存在安全漏洞(如:MySQL、Apache、Serv-U、SQL Server、Nginx、Tomcat等等)。并且這些軟件基本都以最高管理員權(quán)限運(yùn)行,一旦暴出漏洞,具有非常高的危險(xiǎn)性,不法分子可以竊取數(shù)據(jù)或植入惡意文件。


那如何解決這個(gè)問題呢?

要解決這些軟件的安全問題,更新軟件版本到最新是必要的。但僅更新版本還不夠,因?yàn)橄扔新┒春笥醒a(bǔ)丁,也就是這個(gè)方法具有滯后性。我們還應(yīng)該限制這些軟件文件訪問權(quán)限,只允許其訪問最小范圍的文件,尤其不能訪問cmd.exe、net.exe等高危文件。

要限制軟件訪問文件范圍的功能,必須使用第三方安全軟件實(shí)現(xiàn),而且此類安全軟件非常非常少(主要功能太小眾了,使用傳統(tǒng)的防篡改功能無(wú)法滿足需求)。幸運(yùn)的是,你可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“進(jìn)程防護(hù)”模塊來(lái)實(shí)現(xiàn),其可以限制軟件的網(wǎng)絡(luò)通信行為和文件訪問行為(如下圖一)。

溫馨提示:本文以Windows系統(tǒng)為示例, 護(hù)衛(wèi)神.防入侵系統(tǒng)同時(shí)支持Linux系統(tǒng)

 

軟件進(jìn)程防護(hù)

(圖一:軟件進(jìn)程防護(hù))


如下圖二所示,設(shè)置Nginx除了執(zhí)行PHP、自身以及系統(tǒng)必須文件外,對(duì)所有文件都“禁止執(zhí)行”,可有效阻止黑客提權(quán)入侵。

 

限制Nginx禁止執(zhí)行服務(wù)器文件,阻止提權(quán)入侵

(圖二:限制Nginx禁止執(zhí)行服務(wù)器文件,阻止提權(quán)入侵)



你還可以在此規(guī)則上進(jìn)一步優(yōu)化,例如限制只對(duì)網(wǎng)站目錄和自身目錄才有寫權(quán)限(如下圖三),將文件訪問范圍進(jìn)一步縮小。

 

添加文件訪問范圍

(圖三:添加文件訪問范圍)


設(shè)置起來(lái)是不是非常簡(jiǎn)單,但安全性提升卻非常高,即使軟件爆出各種新漏洞,也不擔(dān)心破壞服務(wù)器了。如果你也有此需要,趕緊部署《護(hù)衛(wèi)神.防入侵系統(tǒng)》吧!