本文将为您介绍主机安全的基本概念。
基本概念
主机安全涉及的常见概念如下。
安全基线
安全基线(Security Base Line)指为了满足安全要求,相关系统和服务安全配置必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估产品是否达到安全基线,包括账号配置安全、口令配置安全、授权配置、日志配置、网络配置等。安全基线评估结果在一定程度上,反映了服务器的安全性。
木马病毒
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和 DDoS 攻击等特殊功能的后门程序。
WebShell
WebShell 就是以 ASP、PHP、JSP 或 CGI 等网页文件形式存在的一种命令执行环境,也称为一种网页后门。黑客在入侵了一个网站后,通常会将 ASP 或 PHP 后门文件与网站服务器 Web 目录下正常的网页文件混在一起,然后使用浏览器来访问 ASP 或者 PHP 后门,得到一个命令执行环境,以达到控制网站服务器的目的。
漏洞检测
漏洞检测(Host Vulnerability Detection)指基于主机 Agent 在主机内部发现漏洞的一种方式。将漏洞检测模块运行于主机内部,直接进行验证或者采集信息,来判断主机是否存在漏洞。
系统组件
组件(Component)或者通用组件,在主机安全层面主要泛指服务、应用对应的 Web 容器、软件等,例如 Nginx、Wordpress 等,而系统组件主要指非 Web 类的系统软件。
通用组件漏洞
通用组件漏洞又称为通用漏洞(Common Vulnerability),主要指通用组件而非业务自开发代码产生的漏洞,例如 WordPress 某个 SQL 注入、组件 Bash 的破壳漏洞等。
未授权访问
未授权访问(Unauthorized Access)是不满足安全基线导致的一类问题,主要指相关服务没有对服务的访问条件进行限制,例如设置密码、限制访问来源等,导致任何人都可以直接连接服务进行操作,从而产生安全问题。
异常登录
通过采集服务器上 RDP、SSH 登录日志,上报登录源 IP、登录用户名、登录时间、登录地等信息到云端进行风险评定,对非法登录进行实时告警通知。
隔离文件
隔离技术把存在恶意行为的木马、病毒文件进行隔离存储,避免恶意文件持续扩散。