2024-04-21 分類: 網(wǎng)站建設(shè)
惡意行為者總是在尋找服務(wù)器漏洞。系統(tǒng)管理員和安全員的職責(zé)是確保服務(wù)器上的數(shù)據(jù)安全可靠。通過實(shí)施我們的服務(wù)器安全提示和最佳實(shí)踐,大限度地降低風(fēng)險(xiǎn)并提高您維護(hù)的系統(tǒng)的安全性。
什么是服務(wù)器安全?服務(wù)器安全是一組保護(hù)服務(wù)器免受所有類型威脅的措施,例如DDoS 攻擊、暴力攻擊以及粗心或惡意用戶。這些措施可以包括安裝和維護(hù)防火墻、強(qiáng)制執(zhí)行強(qiáng)密碼和用戶身份驗(yàn)證協(xié)議、安裝防病毒軟件以及進(jìn)行定期備份以避免數(shù)據(jù)丟失。
為什么服務(wù)器安全很重要?服務(wù)器在業(yè)務(wù)敏感數(shù)據(jù)處理和存儲(chǔ)中起著關(guān)鍵作用。使用服務(wù)器安全措施保護(hù)服務(wù)器免受外部威脅對(duì)于維護(hù)以下內(nèi)容至關(guān)重要:
正直——服務(wù)器安全性通過防止篡改和意外修改來確保存儲(chǔ)在服務(wù)器上的數(shù)據(jù)的準(zhǔn)確性和完整性。 可用性——安全措施幫助系統(tǒng)管理員保持服務(wù)器及其服務(wù)始終對(duì)授權(quán)用戶可用。 機(jī)密性——保護(hù)存儲(chǔ)在服務(wù)器上的敏感數(shù)據(jù)可防止未經(jīng)授權(quán)的用戶將數(shù)據(jù)用于惡意目的。 聲譽(yù)——安全漏洞可能導(dǎo)致數(shù)據(jù)丟失或服務(wù)中斷。這些事件可能會(huì)損害公司的聲譽(yù)并造成經(jīng)濟(jì)損失。 合規(guī)性——大公司受行業(yè)特定法規(guī)的約束,這些法規(guī)要求其服務(wù)器符合某些安全標(biāo)準(zhǔn)。不符合這些標(biāo)準(zhǔn)通常會(huì)導(dǎo)致監(jiān)管罰款。 保護(hù)服務(wù)器的 21 個(gè)技巧下面列出了提高服務(wù)器安全性的 21 個(gè)技巧。它包含專門用于 Internet 連接和用戶管理的部分,您可以在這些方面最有效地提高系統(tǒng)的整體強(qiáng)度。此外,該列表還介紹了整個(gè)服務(wù)器安全領(lǐng)域的其他最佳實(shí)踐。
安全服務(wù)器連接1. 建立和使用安全連接
連接到遠(yuǎn)程服務(wù)器時(shí),必須建立安全的通信通道。SSH (安全外殼)協(xié)議是建立受保護(hù)連接的最佳方式。不同于以前使用的Telnet不同,SSH 訪問對(duì)交換中傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密。要使用 SSH 協(xié)議進(jìn)行遠(yuǎn)程訪問,您必須安裝 SSH 守護(hù)程序和 SSH 客戶端來發(fā)出命令和管理服務(wù)器。
默認(rèn)情況下,SSH 使用端口 22。更改默認(rèn)端口號(hào)是減少黑客攻擊您的服務(wù)器機(jī)會(huì)的簡(jiǎn)單方法。因此,SSH 的最佳實(shí)踐是使用 1024 和 32,767 之間的隨機(jī)端口號(hào)。
2. 使用SSH密鑰認(rèn)證
您可以使用一對(duì) SSH 密鑰來驗(yàn)證 SSH 服務(wù)器,而不是密碼,這是傳統(tǒng)登錄的更好替代方法。這些密鑰攜帶的比特?cái)?shù)比密碼多得多,目前的計(jì)算機(jī)無法輕易破解它們。例如,流行的 RSA 2048 位加密就相當(dāng)于一個(gè) 617 位密碼。
SSH 密鑰對(duì)由公鑰和私鑰組成。公鑰有多個(gè)副本,其中一個(gè)留在服務(wù)器上,其他的則與用戶共享。擁有公鑰的任何人都具有加密數(shù)據(jù)的能力,而只有擁有相應(yīng)私鑰的用戶才能讀取這些數(shù)據(jù)。私鑰不得與任何人共享,必須妥善保管。建立連接時(shí),服務(wù)器會(huì)在允許特權(quán)訪問之前要求提供用戶擁有私鑰的證據(jù)。
3. 安全文件傳輸協(xié)議
使用安全文件傳輸協(xié)議 (FTPS)有助于將文件傳輸?shù)椒?wù)器或從服務(wù)器傳輸文件,而不會(huì)有惡意行為者破壞或竊取數(shù)據(jù)的危險(xiǎn)。FTPS 使用命令和數(shù)據(jù)通道來加密數(shù)據(jù)文件和身份驗(yàn)證信息。但是,請(qǐng)務(wù)必記住,F(xiàn)TPS 僅在傳輸過程中保護(hù)文件。一旦他們到達(dá)服務(wù)器,數(shù)據(jù)就不再加密。出于這個(gè)原因,在發(fā)送文件之前加密文件增加了另一層安全性。
4. 安全套接字層證書
使用安全套接字層 (SSL)保護(hù)您的 Web 管理區(qū)域和表單,保護(hù)通過 Internet 在兩個(gè)系統(tǒng)之間傳遞的信息。SSL 可用于服務(wù)器-客戶端和服務(wù)器-服務(wù)器通信。
該程序?qū)?shù)據(jù)進(jìn)行加密,以便敏感信息(例如姓名、身份證、信用卡號(hào)碼和其他個(gè)人信息)不會(huì)在傳輸過程中被盜。具有SSL 證書的網(wǎng)站在 URL 中帶有HTTPS ,表明它們是安全的。
證書不僅加密數(shù)據(jù),還用于用戶身份驗(yàn)證。因此,通過管理服務(wù)器的證書,SSL 有助于建立用戶權(quán)限。管理員可以將服務(wù)器配置為與中央機(jī)構(gòu)和該機(jī)構(gòu)簽署的任何其他證書進(jìn)行通信。
5. 使用專用網(wǎng)絡(luò)和 VPN
確保安全通信的另一種方法是使用專用和虛擬專用網(wǎng)絡(luò) (VPN) 以及 OpenVPN 等軟件(請(qǐng)參閱我們?cè)?CentOS 上安裝和配置 OpenVPN 的指南)。與外部世界可以訪問并因此容易受到惡意用戶攻擊的開放網(wǎng)絡(luò)不同,專用和虛擬專用網(wǎng)絡(luò)限制對(duì)選定用戶的訪問。
私有網(wǎng)絡(luò)使用私有 IP 在同一 IP 范圍內(nèi)的服務(wù)器之間建立隔離的通信通道。這允許同一網(wǎng)絡(luò)中的多個(gè)服務(wù)器在不暴露于公共空間的情況下交換信息和數(shù)據(jù)。當(dāng)您想像通過專用網(wǎng)絡(luò)在本地連接一樣連接到遠(yuǎn)程服務(wù)器時(shí),請(qǐng)使用 VPN。VPN 支持完全安全和私密的連接,并且可以包含多個(gè)遠(yuǎn)程服務(wù)器。對(duì)于在同一 VPN 下通信的服務(wù)器,它們必須共享安全和配置數(shù)據(jù)。
服務(wù)器用戶管理6. 監(jiān)控登錄嘗試
使用入侵防御軟件來監(jiān)控登錄嘗試是一種保護(hù)您的服務(wù)器免受暴力攻擊的方法。這些自動(dòng)攻擊使用試錯(cuò)法,嘗試每一種可能的字母和數(shù)字組合來訪問系統(tǒng)。入侵防御軟件監(jiān)督所有日志文件并檢測(cè)是否有可疑的登錄嘗試。當(dāng)嘗試次數(shù)超過設(shè)定的標(biāo)準(zhǔn)時(shí),入侵防御軟件會(huì)在一段時(shí)間內(nèi)或無限期地封鎖該 IP 地址。
7. 管理用戶
每個(gè)服務(wù)器都有一個(gè)可以執(zhí)行任何命令的根用戶。由于它具有的訪問級(jí)別,如果服務(wù)器落入壞人之手,root 可能會(huì)很危險(xiǎn)。完全禁用 SSH 的根登錄是一種普遍的做法。
由于 root 用戶擁有大的權(quán)限,因此黑客將注意力集中在嘗試破解 root 密碼上。當(dāng)您完全禁用此用戶時(shí),您會(huì)使攻擊者處于不利地位并保護(hù)服務(wù)器免受潛在威脅。為確保外人不會(huì)濫用 root 權(quán)限,請(qǐng)創(chuàng)建一個(gè)受限用戶帳戶。此帳戶沒有與 root 相同的權(quán)限,但可以使用sudo 命令執(zhí)行管理任務(wù)。因此,您可以使用有限的用戶帳戶管理大多數(shù)任務(wù),并且僅在必要時(shí)才使用 root 帳戶。
服務(wù)器密碼安全8. 建立密碼要求
首先是設(shè)置所有服務(wù)器用戶必須遵守的密碼要求和規(guī)則。請(qǐng)遵循以下基本規(guī)則:
不允許空密碼或默認(rèn)密碼。 強(qiáng)制執(zhí)行最小密碼長(zhǎng)度和復(fù)雜性。 有鎖定政策。 不要使用可逆加密存儲(chǔ)密碼。 為不活動(dòng)強(qiáng)制會(huì)話超時(shí)并啟用雙因素身份驗(yàn)證。9. 設(shè)置密碼過期策略
設(shè)置密碼的到期日期是建立用戶需求時(shí)的另一種常規(guī)做法。根據(jù)所需的安全級(jí)別,密碼可能會(huì)持續(xù)數(shù)周或數(shù)月。
10. 使用密碼作為服務(wù)器密碼
使用密碼而不是密碼可以幫助提高服務(wù)器安全性。主要區(qū)別在于密碼短語更長(zhǎng)并且單詞之間包含空格。因此,它通常是一個(gè)句子,但不一定是一個(gè)。例如,密碼密碼可能是:Ilove!EatingPizzaAt1676MainSt。給定的示例比通常的密碼更長(zhǎng),并且包含大寫和小寫字母、數(shù)字和唯一字符。此外,記住密碼比記住一串隨機(jī)字母要容易得多。最后,由于它由 49 個(gè)字符組成,因此更難破解。
11. 密碼禁忌
如果您想維護(hù)一個(gè)安全的服務(wù)器,那么在密碼方面您需要避免一些事情。請(qǐng)注意存儲(chǔ)密碼的位置。不要把它們寫在紙上,放在辦公室里。
建議不要使用個(gè)人信息,例如您的生日、家鄉(xiāng)、寵物名稱和其他可以將您與密碼聯(lián)系起來的東西。這些非常容易猜到,尤其是認(rèn)識(shí)你的人。僅包含簡(jiǎn)單字典單詞的密碼也很容易破解,尤其是通過字典(暴力)攻擊。此外,盡量避免在同一密碼中重復(fù)字符序列。
最后,不要對(duì)多個(gè)帳戶使用相同的密碼。通過回收密碼,您將自己置于重大風(fēng)險(xiǎn)之中。如果黑客設(shè)法獲得對(duì)單個(gè)帳戶的訪問權(quán)限,則使用相同密碼的所有其他帳戶都可能處于危險(xiǎn)之中。嘗試為每個(gè)帳戶使用不同的密碼,并使用KeePass 等密碼管理器跟蹤它們。
保護(hù)服務(wù)器的其他最佳實(shí)踐12. 定期更新和升級(jí)軟件
定期更新服務(wù)器上的軟件對(duì)于保護(hù)服務(wù)器免受黑客攻擊至關(guān)重要。過時(shí)的軟件已經(jīng)針對(duì)其弱點(diǎn)進(jìn)行了探索,這讓黑客可以利用并破壞您的系統(tǒng)。
自動(dòng)更新是保證您不會(huì)跳過重要更新的一種方式。但是,允許系統(tǒng)進(jìn)行自動(dòng)更改可能會(huì)有風(fēng)險(xiǎn)。在更新生產(chǎn)環(huán)境之前,最好檢查更新在測(cè)試環(huán)境中的執(zhí)行情況。確保定期更新服務(wù)器控制面板。您還需要定期更新您的內(nèi)容管理系統(tǒng)(如果您使用它),以及它可能擁有的任何插件。每個(gè)新版本都包含用于修復(fù)已知安全問題的安全補(bǔ)丁。
13. 刪除或關(guān)閉所有不必要的服務(wù)
通過減少所謂的攻擊媒介來提高服務(wù)器安全性。這個(gè)網(wǎng)絡(luò)安全術(shù)語指的是僅安裝和維護(hù)保持服務(wù)運(yùn)行所需的最低要求。僅啟用服務(wù)器操作系統(tǒng)和已安裝組件使用的網(wǎng)絡(luò)端口。系統(tǒng)上的內(nèi)容越少越好。Windows 操作系統(tǒng)服務(wù)器應(yīng)僅具有必需的操作系統(tǒng)組件。Linux 操作系統(tǒng)服務(wù)器應(yīng)進(jìn)行最小化安裝,僅安裝必要的軟件包。
由于大多數(shù) Linux 發(fā)行版都會(huì)偵聽 Internet 上的傳入連接,因此請(qǐng)將防火墻配置為僅允許特定端口并拒絕所有其他不必要的通信。在您的系統(tǒng)上安裝軟件之前檢查依賴項(xiàng),以確保您沒有添加任何您不需要的東西。此外,檢查哪些依賴項(xiàng)在系統(tǒng)上自動(dòng)啟動(dòng),以及您是否需要它們。
14. 隱藏服務(wù)器信息
旨在提供盡可能少的有關(guān)底層基礎(chǔ)設(shè)施的信息。對(duì)您的服務(wù)器了解得越少越好。此外,最好隱藏服務(wù)器上安裝的任何軟件的版本號(hào)。版本指示器通常會(huì)顯示確切的發(fā)布日期,這有助于黑客尋找弱點(diǎn)。
15. 使用入侵檢測(cè)系統(tǒng)
要檢測(cè)未經(jīng)授權(quán)的活動(dòng),請(qǐng)使用入侵檢測(cè)系統(tǒng) (IDS),例如 Sophos,它會(huì)監(jiān)控在您的服務(wù)器上運(yùn)行的進(jìn)程。您可以將其設(shè)置為檢查日常操作、運(yùn)行自動(dòng)定期掃描或決定手動(dòng)運(yùn)行 IDS。
16. 檔案審核
文件審計(jì)是另一種發(fā)現(xiàn)系統(tǒng)上不需要的更改的有效方法。此方法記錄系統(tǒng)處于健康狀態(tài)時(shí)的所有特征,并將其與當(dāng)前狀態(tài)進(jìn)行比較。通過將同一系統(tǒng)的兩個(gè)版本并排比較,您可以檢測(cè)到所有不一致之處并追蹤它們的來源。
17. 服務(wù)審計(jì)
服務(wù)審計(jì)探索服務(wù)器上運(yùn)行的服務(wù)、它們的協(xié)議以及它們通信所用的端口。了解這些細(xì)節(jié)有助于為系統(tǒng)中的攻擊面配置有效的保護(hù)。
18. 設(shè)置和維護(hù)防火墻
通過控制和限制對(duì)系統(tǒng)的訪問來保護(hù)您的服務(wù)器。使用 CSF(ConfigServer 和Firewall)對(duì)于加強(qiáng)服務(wù)器的安全性至關(guān)重要。它只允許特定的重要連接并鎖定對(duì)其他服務(wù)的訪問。在初始服務(wù)器設(shè)置期間或更改服務(wù)器服務(wù)時(shí)設(shè)置防火墻。默認(rèn)情況下,典型的服務(wù)器運(yùn)行多個(gè)公共、私有和內(nèi)部服務(wù)。
公共服務(wù)通常在需要允許訪問網(wǎng)站的 Web 服務(wù)器上運(yùn)行。任何人都可以通過互聯(lián)網(wǎng)訪問這些服務(wù)。 例如,在處理數(shù)據(jù)庫控制面板時(shí)使用私有服務(wù)。在這種情況下,許多選定的用戶可以訪問同一點(diǎn)。他們擁有在服務(wù)器上具有特殊權(quán)限的授權(quán)帳戶。 內(nèi)部服務(wù)永遠(yuǎn)不應(yīng)暴露于互聯(lián)網(wǎng)或外部世界。它們只能從服務(wù)器內(nèi)部訪問并且只接受本地連接。防火墻的作用是根據(jù)用戶被授權(quán)的服務(wù)來允許、限制和過濾訪問。配置防火墻以限制所有服務(wù),但服務(wù)器必須提供的服務(wù)除外。
19. 備份你的服務(wù)器
盡管前面提到的步驟旨在保護(hù)您的服務(wù)器數(shù)據(jù),但備份系統(tǒng)以防萬一出現(xiàn)問題至關(guān)重要。將關(guān)鍵數(shù)據(jù)的加密備份存儲(chǔ)在異地或使用云數(shù)據(jù)備份和恢復(fù)解決方案。無論您有自動(dòng)備份作業(yè)還是手動(dòng)執(zhí)行備份作業(yè),請(qǐng)確保將此預(yù)防措施作為例行程序。此外,您應(yīng)該執(zhí)行全面的備份測(cè)試。這包括“健全性檢查”,管理員或最終用戶在其中驗(yàn)證數(shù)據(jù)恢復(fù)是否一致。
20. 創(chuàng)建多服務(wù)器環(huán)境
隔離是您可以擁有的最好的服務(wù)器保護(hù)類型之一。完全分離需要擁有不與其他服務(wù)器共享任何資源的專用裸機(jī)服務(wù)器。盡管此方法提供了最高的安全性,但它也是最昂貴的。在數(shù)據(jù)中心隔離執(zhí)行環(huán)境允許所謂的職責(zé)分離 (SoD) 并根據(jù)服務(wù)器實(shí)現(xiàn)的功能設(shè)置服務(wù)器配置。
將數(shù)據(jù)庫服務(wù)器和 Web 應(yīng)用程序服務(wù)器分開是一種標(biāo)準(zhǔn)的安全做法。單獨(dú)的執(zhí)行環(huán)境對(duì)于無法承受任何安全漏洞的大型企業(yè)特別有利。獨(dú)立的數(shù)據(jù)庫服務(wù)器保護(hù)敏感信息和系統(tǒng)文件免受設(shè)法獲得管理帳戶訪問權(quán)限的黑客的攻擊。此外,隔離讓系統(tǒng)管理員可以單獨(dú)配置 Web 應(yīng)用程序安全性并大限度地減少攻擊面。
21. 創(chuàng)建虛擬隔離環(huán)境
如果您負(fù)擔(dān)不起或不需要與專用服務(wù)器組件完全隔離,您也可以選擇隔離執(zhí)行環(huán)境。這樣做可以幫助您處理安全問題,同時(shí)確保其他數(shù)據(jù)不會(huì)受到損害。您可以在更易于設(shè)置的容器或 VM 虛擬化之間進(jìn)行選擇。UNIX 操作系統(tǒng)中虛擬化環(huán)境的另一個(gè)選擇是創(chuàng)建 chroot 監(jiān)獄。Chroot 將進(jìn)程從中央操作系統(tǒng)的根目錄中分離出來,并只允許它訪問其目錄樹中的文件。但是,這不是完全隔離,只能與其他安全措施一起使用。
結(jié)論閱讀本文并遵循安全建議后,您應(yīng)該對(duì)服務(wù)器安全性更有信心。其中許多安全措施應(yīng)在初始服務(wù)器設(shè)置期間實(shí)施,而其他措施應(yīng)作為持續(xù)或定期維護(hù)的一部分。如果您的服務(wù)器監(jiān)控不是自動(dòng)化的,請(qǐng)確保設(shè)計(jì)并遵循預(yù)定的安全檢查。為了及時(shí)了解網(wǎng)絡(luò)安全的最佳實(shí)踐,我們建議您考慮網(wǎng)絡(luò)安全認(rèn)證,并在許多可用的播客上關(guān)注安全領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者。
網(wǎng)站標(biāo)題:為什么服務(wù)器安全很重要?保護(hù)服務(wù)器的21個(gè)技巧
文章網(wǎng)址:http://m.newbst.com/news38/324588.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航、網(wǎng)站營(yíng)銷、全網(wǎng)營(yíng)銷推廣、外貿(mào)建站、自適應(yīng)網(wǎng)站、域名注冊(cè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容