手记

高危:弱密码问题

近期有不少用户反馈,由于服务器密码或数据库密码设置太简单,导致数据被黑客盗取、甚至删除,造成了严重的后果。

信息安全是一个看不见但是非常重要的工作,由于大部分中小企业没有专门的信息安全管理员,但我们在云上运行我们的软件,处理我们的业务,信息安全是无可回避。

本文不对信息安全做过多的解释,就近期我们了解到的情况来说,请用户朋友们务必做好如下两个工作:

第一,将弱密码修改为强密码

弱密码(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如“123456”、“abc123”、“Michael”等。

我们镜像出厂配置的通用密码大部分为123456是典型的弱密码,虽然我们在产品初始化页面强调用户自行更改,但仍然有一部分用户忽略这个更改,导致数据安全事故的悲剧发生。

国内网民常用的25个弱密码包括:
000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314、asdfghjkl、66666666、88888888 。

强密码即Strong password,指不容易猜到或破解的密码。强密码应该具有如下特征

  • 强密码长度至少有 8 个字符;
  • 不包含全部或部分用户帐户名;
  • 至少包含以下四类字符中的三类:大写字母、小写字母、数字,以及键盘上的符号(如 !、@、#);
  • 字典中查不到;
  • 不是命令名、不是人名、不是用户名、不是计算机名;
  • 没有规则的大小写字母、数字、符号的组合,部分登录系统支持全角符号以及中文、其他语言等特殊符号的输入;
  • 不是容易被猜测到的密码(例如:1qaz@WSX qazwsxedc iloveyou 这样的)。

第二,设置好服务器的自动备份(快照备份),防患于未然

有服务器运维经验的用户都明白一个道理:“信息系统根本无法长时间保持100%稳定的状态,任何系统都可能会出现故障,只是故障出现的概率不同、危害程度不同而已”。

  1. 工作几天的成果被误删了,怎么恢复?
  2. 网站被黑客攻击面目全非,能复原吗?
  3. 网站内容被改得乱七八糟,想要恢复到一个正常状态?

当故障发生之时,我们首先是寻求专业人士的帮助,快速诊断并处理故障,但不幸的是,有些故障无法在期望的时间周期内顺利的解决,甚至是无法解决。显然,有一个备份及其重要,它可以保证出现故障之时可以通过已有的备份文件将系统恢复到正常的状态,意味着可以避免由于无法恢复而造成的巨大损失。

一定要养成备份的习惯,切莫存在侥幸心理。

所有的云平台都提供了全局自动备份功能,基本原理是基于磁盘快照:快照是针对于服务器的磁盘来说的,它可以记录磁盘在指定时间点的数据,将其全部备份起来,并可以实现一键恢复。

- 备份范围: 将操作系统、运行环境、数据库和应用程序。
- 备份效果: 非常好。
- 备份频率: 按小时、天、周备份均可。
- 恢复方式: 云平台一键恢复。
- 技能要求:非常容易。
- 自动化:设置策略后全自动备份。

不同云平台的自动备份方案有一定的差异,详情参考 云平台备份方案

另外,我司在2019年4月15日之前,会完成所有镜像的更新。最新版的镜像不再在文档中列出密码,而是采用一个随机密码伴随用户开机生成,这样可以从根本上解决弱密码的问题。

本文由 Websoft9 原创发布,转载请注明出处。

1人推荐
随时随地看视频
慕课网APP