很多人觉得域名解析只要把地址指对就完事了,其实后头的主机配置才是关键。你可能花了几百块买的域名,结果因为主机安全没设好,网站被挂马、数据被拖走,连带邮箱都收不到邮件了。
别小看那几行服务器配置
比如你在云服务商买了个VPS,装好了Nginx或Apache,接着把域名A记录指向IP,访问是通了,但默认配置往往开着一堆不必要的服务。像目录遍历、错误信息暴露路径、上传文件不校验类型——这些细节都是漏洞温床。
举个例子,某公司官网能直接通过URL访问到 /upload/.git,黑客顺手扒走源码,数据库密码明文写在配置文件里,整个系统等于裸奔。
基础安全设置该怎么做
先关掉敏感信息输出。Nginx里加上这几句:
server_tokens off;
error_page 404 /404.html;
client_max_body_size 10m;
Apache也别留默认页,.htaccess 限制一下目录访问:
<Directory "/var/www/html">
Options -Indexes
AllowOverride None
Require all granted
</Directory>还有SSH登录,十个人里八个还在用密码登录。改成密钥认证,顺手把22端口换掉,暴力破解基本就绕过去了。
HTTPS不是摆设,得配对
现在Let's Encrypt免费证书随便领,但有人装完SSL就以为万事大吉。其实还得加HSTS头,防止降级攻击:
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
不然用户第一次访问还是可能被中间人劫持,尤其是公共WiFi环境下。
别让子域名成突破口
测试环境开在 test.yourdomain.com,临时用了弱密码,忘了关调试模式。搜索引擎一抓一个准,黑客顺着就能打到主站。每个子域名都得当独立站点来管权限。
建议定期用工具扫一遍自己的域名,看看有没有漏网之鱼。像 securityheaders.com 测一下响应头,shodan.io 查查IP暴露了哪些端口,心里才有底。
主机安全和域名解析本来就是拴在一起的。你把车停在路边,锁不锁门,差别就在一夜之间。