最近是否会启动一个ecommerence网站,也存储信用卡的细节等。 我们的安全性在软件方面是很好的,但是对于整个操作系统来说,我们正在疲软,并且正在考虑确定我们的工作站。 我遇到了一个名为webmin的工具,可以帮助您configuration您的Linux机器。 这个工具有多好,你们推荐这个工具来保护网站吗? 例如,我看到该工具可以让你玩IPTables。
这是一个很好的工具,用来妥善保护网站免受任何攻击。 我们还确保MySQL安全,遵循本教程http://www.securityfocus.com/infocus/1726
Webmin是一个很好的工具,但它也是另一个潜在的安全漏洞…确保将其locking,以便只能从可信主机访问。
这基本上是一大堆命令行东西的graphics前端。 它不能做任何你不能在命令行上做的事情,但是它使得这些事情更加友好一些……所以如果你已经知道如何保护一个盒子,那么它会有所帮助。
如果你不知道,但是,这不会改变任何东西。
我的build议是,除非你绝对必须,不要存储信用卡信息。 存储最后四位数字进行validation,然后将剩下的数字交给商家提供商,让他们承担责任。
当你走进硬化的信用卡处理机器的世界时,你必须明白,你需要不断地在机器的顶端,因为每一个新的漏洞都会在某个时候受到考验。
你有审计的SQL注入,XSS,CSRF,CRLF操纵,缓冲区溢出,格式string攻击….
问题是,你可能没有保证你的系统安全,如果没有安全顾问,你也不太可能。
省去麻烦,让CC处理器处理它。
至于实际的问题,Webmin不是一个好工具来保护您的网站。 我总是推荐GreenSQL和Grsec / SELinux的补丁程序,以及对任何用户可用内容(在Magento中令人惊讶的小)使用stripslashes()或类似函数的评论。
在这个说明中,Magento有一个相当不错的安全logging,只是说我只能相信其他任何人,只要我可以抛出它们和用户扩展,总是让你接触到几乎没有被审计过的新漏洞作为原始的代码库。
在你的特定情况下,网站安全问题的组成部分是一旦任何用户受到攻击,游戏就结束了(大概你会像没有人一样运行apache / nginx)。 这意味着jail()现在不能拯救你,所以你需要对你的设置进行额外的努力 – 你会受到攻击,主要由中国和俄罗斯的脚本小子,但你偶尔会得到一个真正的黑帽,如果你处理足够的卡。