10秒后自動關閉
如何限制軟件訪問文件范圍,阻止越權訪問(利用cmd.exe命令提權)

常用的服務器軟件幾乎都存在安全漏洞(如:MySQL、Apache、Serv-U、SQL Server、Nginx、Tomcat等等)。并且這些軟件基本都以最高管理員權限運行,一旦暴出漏洞,具有非常高的危險性,不法分子可以竊取數據或植入惡意文件。


那如何解決這個問題呢?

要解決這些軟件的安全問題,更新軟件版本到最新是必要的。但僅更新版本還不夠,因為先有漏洞后有補丁,也就是這個方法具有滯后性。我們還應該限制這些軟件文件訪問權限,只允許其訪問最小范圍的文件,尤其不能訪問cmd.exe、net.exe等高危文件。

要限制軟件訪問文件范圍的功能,必須使用第三方安全軟件實現,而且此類安全軟件非常非常少(主要功能太小眾了,使用傳統(tǒng)的防篡改功能無法滿足需求)。幸運的是,你可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“進程防護”模塊來實現,其可以限制軟件的網絡通信行為和文件訪問行為(如下圖一)。

溫馨提示:本文以Windows系統(tǒng)為示例, 護衛(wèi)神.防入侵系統(tǒng)同時支持Linux系統(tǒng)

 

軟件進程防護

(圖一:軟件進程防護)


如下圖二所示,設置Nginx除了執(zhí)行PHP、自身以及系統(tǒng)必須文件外,對所有文件都“禁止執(zhí)行”,可有效阻止黑客提權入侵。

 

限制Nginx禁止執(zhí)行服務器文件,阻止提權入侵

(圖二:限制Nginx禁止執(zhí)行服務器文件,阻止提權入侵)



你還可以在此規(guī)則上進一步優(yōu)化,例如限制只對網站目錄和自身目錄才有寫權限(如下圖三),將文件訪問范圍進一步縮小。

 

添加文件訪問范圍

(圖三:添加文件訪問范圍)


設置起來是不是非常簡單,但安全性提升卻非常高,即使軟件爆出各種新漏洞,也不擔心破壞服務器了。如果你也有此需要,趕緊部署《護衛(wèi)神.防入侵系統(tǒng)》吧!