2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、在我們公司 ChinaNetCloud,見過多種不同類型的網(wǎng)站和系統(tǒng),有好也有差。其中有些系統(tǒng)擁有良好的服務(wù)器/網(wǎng)絡(luò)架構(gòu),并且進(jìn)行了合理的調(diào)整和監(jiān)控;然而一般的系統(tǒng)都會(huì)有安全和性能上的問題,不能良好運(yùn)行,也無法變得更流行。在中國, 開源的 LAMP 棧是最流行的網(wǎng)絡(luò)架構(gòu),它使用 PHP 開發(fā),運(yùn)行在 Apache服務(wù)器上,以 MySQL 作為數(shù)據(jù)庫,所有這些都運(yùn)行在 Linux 上。它是個(gè)可靠的平臺(tái),運(yùn)行良好,是現(xiàn)在全球最流行的 Int

2、ernet 系統(tǒng)架構(gòu)。然而,我們很難對(duì)其規(guī)模進(jìn)行正確的擴(kuò)展并保持安全性,因?yàn)槊總€(gè)應(yīng)用層都有其自身的問題、缺陷和最佳實(shí)踐。我們的工作就是幫助企業(yè)用最低的操作成本來創(chuàng)建并運(yùn)行高性能的、可伸縮的、安全的系統(tǒng),因此對(duì)于這類問題我們有很豐富的經(jīng)驗(yàn)。當(dāng)前的實(shí)際情況是,很多網(wǎng)站都是由開發(fā)人員快速而廉價(jià)地創(chuàng)建,通常沒有任何 IT 人員或者經(jīng)理,只是由程序員來管理系統(tǒng)。造成的結(jié)果是,雖然花費(fèi)很低的成本,網(wǎng)站就可以開始運(yùn)行,但是當(dāng)擁有大量用戶、 需要擴(kuò)展規(guī)

3、模的時(shí)候,通常就會(huì)面臨真正的問題。畢竟,中國擁有三億八千萬的 Internet 用戶,如果其中的 0.01%訪問這個(gè)站點(diǎn),就很容易引發(fā) 25 萬~50 萬的頁面訪問量。這些問題在各個(gè)級(jí)別上都會(huì)產(chǎn)生,下面總結(jié)的規(guī)則是對(duì)最一般的問題進(jìn)行概述,并且說明為什么這些規(guī)則如此重要,以及最好采用什么方 法來修正它們。遵循這些建議的站點(diǎn)會(huì)提高它的可伸縮性、安全性以及操作上的穩(wěn)定性。1. 使用合適的會(huì)話管理 使用合適的會(huì)話管理第一個(gè)想到的擴(kuò)展系統(tǒng)的方法就

4、是添加更多硬件。例如,使用兩臺(tái)服務(wù)器而不是一臺(tái)。這聽著合理,但會(huì)產(chǎn)生潛在問題:會(huì)話管理。這對(duì) Java 程序來說是很嚴(yán)重的問題,在 PHP 中也會(huì)產(chǎn)生可延展性問題, 對(duì)于數(shù)據(jù)庫的負(fù)載尤其如此。會(huì)話被定義為單獨(dú)的最終用戶登錄或者連接一段時(shí)間,其中通常會(huì)包含多個(gè) TCP/IP的 HTTP 連接、幾個(gè) Web 頁面,通常還包括幾十個(gè)甚至上百個(gè)頁面元素,如框架、菜盡管編寫像防止 SQL 注入和登錄安全之類的代碼涉及很多安全問題,但不幸的是,幾乎

5、沒有人考慮過安全性,而那些考慮到的人也沒有對(duì)其進(jìn)行很好地理解。而本文要關(guān)注的是操作性的系統(tǒng)安全。對(duì)于這類安全,我們的焦點(diǎn)集中在三個(gè)安全領(lǐng)域:防火墻、運(yùn)行的用戶以及文件訪問權(quán)限。除了配置專門的硬件防火墻(像 Cisco 的 ASA)之外,所有服務(wù)器都還應(yīng)該運(yùn)行像Iptables 之類的防火墻,它會(huì)保護(hù)服務(wù)器免受其他威脅和攻擊。這些威脅和攻擊可能來自公共的 Internet、其他服務(wù)器或本地服務(wù)器,也包括使用 VPN 或者 SSH 通道的開

6、發(fā)和操作人員。我們僅對(duì)指定的 IP 開放確實(shí)需要的端口。Iptables 可能會(huì)很復(fù)雜,但是有很多不錯(cuò)的模板,我們通??梢允褂盟鼈儊韼椭蛻魟?chuàng)建 Iptables。例如,默認(rèn)的 RedHat 或者 CentOS 防火墻的配置說明只有 10 行,顯然并不實(shí)用。我們最佳實(shí)踐的 Iptables 配置大概有 5 頁,這其中包含了 Linux 所能提供的最高級(jí)的安全防范。所有公用的服務(wù),都應(yīng)該運(yùn)行在專門的用戶下,如 Apache。切記永遠(yuǎn)都不要

7、使用Root 用戶運(yùn)行,因?yàn)檫@會(huì)讓任何闖入到 Apache 的用戶接管整個(gè)服務(wù)器。如果 Apache只是運(yùn)行在 Apache 用戶下或者運(yùn)行在 Nobody 下,那么闖入 Apache 就不是一件容易的事情了。Web 服務(wù)器運(yùn)行或者服務(wù)的文件 (像.php 和.html 文件)對(duì)于 Web 服務(wù)器的用戶應(yīng)該是不可寫的。這意味著 Apache 或者 Nginx 用戶不應(yīng)該擁有 Web 目錄的寫權(quán)限。有很多方法都可以做到這一點(diǎn),而最簡單的就

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論