如何打造高安全性的web环境？

最近网站被挂马，最后通过小马的文件创建时间找分析访问日志，找到些不正常的访问，最后解决了被挂马的问题，但问题是不知道挂马者是通过哪个途径上传后门，用的是开源系统，有洞也是难以避免的。

所以问题来了，如何防范这种通过漏洞或者其它方式在web中留下后门，打造高安全性的生产环境？

回复内容：

最近网站被挂马，最后通过小马的文件创建时间找分析访问日志，找到些不正常的访问，最后解决了被挂马的问题，但问题是不知道挂马者是通过哪个途径上传后门，用的是开源系统，有洞也是难以避免的。

所以问题来了，如何防范这种通过漏洞或者其它方式在web中留下后门，打造高安全性的生产环境？

代码要有版本控制，不然被改了你都不知道。
装软件要用包管理器，不然被改了你都不知道。
真要是不知道哪被改了，就重装系统吧。

1. 最小权限（详细划分每个目录应该有的权限）
2. 最少服务（没必要的服务不要安装）
3. 最少暴露（没必要的端口一律关闭）
4. 应用分割（每个WEB网站使用不同的用户限定在网站目录下运行）
5. 可运行文件目录改动监控
6. 安全补丁及时修补

---

暂时想到这么多

1. 可以参看国标，操作系统的安全级别，公共服务器的话，至少应该做到安全四级的标准，能够有三权分立的功能
2. 开源linux都有selinux模块，最好采用Enforcing模式，并且配置mls
3. 部署应用使用容器（lxc或者docker）
4. 懒得配置可以使用公有云