clickhouse网络安全日志 网络安全日志保存时间

1. 系统账号管理不规范
   由于root权限为系统最高权限，可以对系统进行所有管理配置操作，一旦被攻击者获取利用，将严重威胁网站的安全性。建议禁用roo直接登录，开放普通用户登录，通过普通用户登录再su进行系统管理

adduser admin  (添加用户)
 passwd  admin （设置密码）
 vim /etc/sudoers 
 	## Allow root to run any commands anywhere
	root  ALL=(ALL)   ALL
	admin  ALL=(ALL)   ALL
	# 注意： 这个文件只读是一种保护机制，所以保存时得使用: wq!
vim /etc/ssh/sshd_config
	修改 PermitRootLogin 为  no
service sshd restart

1. 系统日志保存不达标
   远程登录服务器主机，查看系统日志保存配置文件，发现日志保存为每周，保存周期为一个月，不符合《网络安全法》、《网络安全等级保护管理条例》规定日志应保存不少于6个月

vim /etc/logrotate.conf
 	# keep 4 weeks worth of backlogs
	rotate 4 改为 rotate 12 //最多转储12次
	
	将/var/log/wtmp{
		...
		rotate 1 中的1改为3
	}
service syslog restart //重启syslog进程

1. 存储型跨站脚本攻击漏洞（高危）
   跨站脚本攻击，XSS又叫CSS (Cross Site Script)。XSS属于被动式的攻击，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。攻击者经常利用跨站脚本攻击的方式进行网络钓鱼行为。或诱骗用户点击含有跨站脚本攻击的连接，从而获取用户的COOKIE等信息，绕过用户身份认证，直接进入用户登录页面。
   解决方式：

• 客户端：
  a). 禁止输入、提交<、>、script、/、(、)、”等特殊字符。
  b). 明确各个输入框可以接受的字符类型和长度。
• 服务器端：
  对接收的内容数据进行编码（如HTMLEncode、htmlspecialchars），显示内容的原始字符串，禁止其以HTML、Javascript等脚本语言方法解释执行。

1. 服务器信息泄露（中危）
   网站部署完毕含有大量服务器配置、版本、运行环境信息，可以为攻击者了解网站配置，进行下一步攻击提供帮助。
   解决方式：
   将这些敏感文件进行删除、访问权限控制。
2. 网站上线后应将debug 模式关闭。错误页面包含源码、文件名、调用函数名等敏感信息