A-A+

网页防篡改使用详解及体会(未测试)

2020年09月07日 方法、技巧 暂无评论

最近有个客户需要使用网页防篡改服务,顺道学习了天翼云上网页防篡改产品的部署及使用,本文对网页防篡改服务的工作原理及部署过程及部署中需要注意的方面进行回顾。

一、网页防篡改工作原理

1、系统架构

网页防篡改服务的经典场景如上图,在客户需要防护的vpc内新建一台云主机,使用网页防篡改镜像加载即可,保证防篡改服务器云主机与准备防护的客户网站云主机在同一个vpc内,网页防篡改架构是标准的c/s架构。

防篡改服务器侧的用户接口通过apache提供图形化的网页接口供用户注册服务及进行服务使用,后端使用public_server响应网页的调用及协调dlsync服务,数据库使用mongdb;

防篡改客户端在用户的网站云主机上安装一个代理程序,该代理分两块km、dlsync组成,dlsync与服务器端配合完成文件的同步确保防篡改服务器与保护客户端文件的一致,dlsync的文件上传使用ftp的60000-60010端口,对客户端的网站路径进行防护使用km组件,km通过antitamper_km将模块注入linux内核,通过内核监控保护指定的目录文件,使保护范围内的文件处于无法修改及删除状态除非通过dlsync从防篡改服务端的命令实现文件的增删改。

2、文件防篡改原理

网站目录文件保护功能:

通过网页交互将网页监控目录信息注入到网页服务器的agent中,agent通过km进入linux内核对指定的监控目录进行权限限制,对指定目录下的文件无法进行增删改操作,实现了对网站目录下文件的保护功能;

网站目录下文件同步功能:

因为无法对源网站目录下文件进行增删改操作,所以需要对网站的源目录在防篡改服务器端的默认目录/var/www/ftp下新建一个网站备份目录并将源站的文件全部复制到此位置,系统通过dlsync对文件进行监控及同步,今后对客户网站的增删改操作都通过对防篡改服务器备份目录下的文件进行操作后自动同步实现;

存在的缺陷:

如果你通过数据库的形式直接修改内容或通过网站后台管理页面还是可以修改网站内容,绕过网站防篡改系统的监管。

二、防篡改服务部署主要流程

1、在网站vpc内新建一台ecs,镜像选择公有镜像-网页防篡改;

2、新建或修改网页防篡改及网页服务器所在的安全组策略,新增tcp8011、tcp60000-60010,tcp 1443,udp8020端口的访问

3、在网页服务器上系统防火墙上新增tcp8011、tcp60000-60010的端口访问

4、通过网页防篡改服务器互联网ip地址:1443端口访问防篡改服务器网页控制端

5、在网页服务器上下载安装防篡改agent客户端,wget http://oos-cn.ctyunapi.cn/downfile/2020%20download/antitamper_client_v4.5.56.84_centos_redhat_20200307.tar.gz

6、在网页服务器上解压安装agent客户端 ,主要注意填写的服务器ip为防篡改服务器的内网ip地址

7、确定agent安装成功后在防篡改服务器网页上添加管理服务器,服务器的ip也要填写内网ip地址

8、至此如果你上面的几部都正确,可以在5秒时间内看到添加后的管理服务器图标由灰变绿,如果没有变绿重点检查网络安全配置及ip地址是否填写正确

9、ssh进入网页服务器将源站的网页目录文件全部备份进入防篡改服务器的/var/www/ftp/源站名目录下,备份完成后通过du -h对比一下源站目录及备份目录下的文件大小是否一致,确定是否备份完整;

10、确定原站备份完整后进行防篡改网页操作,添加站点,这里需要注意的是对网站中的一些不能防护的目录必须要添加进例外中,否则会出现用户源站不能访问的重大故障,还有如果没有将用户的源站文件完整备份过来至防篡改服务器下添加站点后会出现删除源站的重大故障;

11、排除目录的输入格式不能是全路径只能是相对路径,比如全路径是/www/wwwroot/demo1 排除的目录就应该是runtime/*,不能写成/www/wwwroot/demo1/runtime/*;

三、防篡改产品的使用心得

一、安装部署过程对用户的要求比较高,如果操作失误会导致用户的源站挂掉,风险很大;

二、防护效果有限,仅仅针对网站的指定目录下文件进行防护,如果网站有其他的漏洞还是会被改掉,只能算是具备防文件篡改功能;

三、产品支撑需要对客户网站的目录结构及网站架构非常了解,最好在安装部署时争取用户网站的建设商配合,需要明确把网站运行时需要动态变化的目录排除掉,需要在数据库外保持的上传目录也排除掉,否则用户安装了防篡改服务后网站的正常数据更新将不能使用;

四、安装完成后用户的网站程序更新需要告知网站程序维护商不能采用原来的维护模式,需要从防篡改服务器的备份目录下进行修改自动同步;

本文来源:https://blog.csdn.net/firehadoop/article/details/105964558

给我留言

Copyright © 众人搜索网 保留所有权利.   Theme  Ality 鲁ICP备11032800号

用户登录 ⁄ 注册