伺服器
該標籤下有 5 篇文章
安全資產盤點 —— 個人維運多台伺服器時最易忽略的 7 項檢查
個人維運多台伺服器的事故,往往源於「沒掌握的狀態」而非「缺少防護」。要守的邊界是放置金鑰的電腦。2FA 按信任鏈分級,SSH 金鑰矩陣化以清除重複・未使用・孤兒,明文密碼從雲端清除,整改要可逆且逐項進行,台帳裡不寫機密。比起花俏的新工具,盤點更優先。
是否把金鑰檔案遺忘在了公開目錄裡:webroot 盤點
放進 webroot(公開目錄)的檔案,只要存取 URL 任何人都能取走。權杖或驗證憑證的 JSON、.env、備份一旦遺忘在那裡,立刻造成實害。再加上若源自共用範本,同一個洞會橫向擴散到所有站點。對策=公開目錄只放可以公開的東西,金鑰放在 webroot 之外+權限 600,並且盤點自己的伺服器、一處發現就全機排查。
自建 Git 伺服器和 GitHub,從安全角度看哪個更安全
自建 Git 不是『變安全』,而是『轉移風險』。誤公開這一類事故確實會消失,但伺服器修補、備份、提交前金鑰偵測的責任會轉移到你身上。滿足條件就是好選擇,放任不管則比 GitHub 更危險。本站視角=自建維運必須連同代價一起,否則無法成立。
不要把 root 金鑰交給可能被入侵的環境:SSH 金鑰的最小權限
從臨時且可能被入侵的環境(GPU pod、CI runner、一次性 VM)向生產登記 root 金鑰,那個環境一旦被入侵,生產就會連帶被人以 root 權限抽走。對策=不在臨時環境放 root 金鑰/不用了就刪掉/再次需要時用非 root 使用者+command 限制金鑰(command=「...」 restrict)把操作限定為一個。重複使用金鑰是最重要資產,別搭出『漏一把就全完』的結構。
在虛擬主機上避免 .env 被公開的目錄配置與設定
核心是『把應用程式主體放在 docroot 之外,只公開 public/』。先用 .htaccess 止血,再做結構改造實現長期防護,最後自我檢查。本站的視角=這不是個人的疏忽,而是業界層面把『壞做法標準化』了。所以要靠機制而不是靠注意力來防禦。bootstrap-redirect 比 symlink 更牢靠。