搜索讓世界變的簡(jiǎn)單

網(wǎng)絡(luò)攻擊者總是在尋找可以在服務(wù)器上利用的漏洞。作為服務(wù)器管理員，您有責(zé)任確保您已關(guān)閉所有可能的漏洞并且您的數(shù)據(jù)是安全的。您需要通過實(shí)施您認(rèn)為“必要”的正確措施、技巧和實(shí)踐來最大程度地降低風(fēng)險(xiǎn)并確信您的數(shù)據(jù)是安全的。

因此，我們?cè)谶@里提供了 8 個(gè)基本技巧，可幫助您保護(hù)Web 服務(wù)器上的數(shù)據(jù)。我們已盡力使我們的技巧盡可能扎實(shí)和必要。一旦您閱讀并實(shí)施了本文中提到的所有內(nèi)容，我們將返回另一篇博客，但會(huì)提供更高級(jí)的技巧。

1. 使用安全連接保護(hù)您的服務(wù)器

您是否使用開放網(wǎng)絡(luò)連接到遠(yuǎn)程服務(wù)器？你不應(yīng)該。當(dāng)嘗試連接到遠(yuǎn)程服務(wù)器時(shí)，您應(yīng)該在該位置建立安全連接，因?yàn)閿?shù)據(jù)包可能會(huì)偏離其他地方。這可能會(huì)危及您的隱私和安全。

使用安全外殼協(xié)議 (SSH) 將幫助您建立安全且受保護(hù)的連接，并且與舊的 Telnet 不同，SSH 將加密交換中的所有數(shù)據(jù)。

如果您想知道我們所說的加密是什么意思，這里有一些值得您花時(shí)間的東西 –

想象一下，您向朋友“Alex”發(fā)送“hello”?，F(xiàn)在，請(qǐng)考慮您的 Messenger 未配置安全連接。然后服務(wù)器將您的消息轉(zhuǎn)換成二進(jìn)制等價(jià)物，并將它們直接發(fā)送到接收者的收件箱。

如果有人以某種方式利用了連接，他會(huì)很容易地閱讀您的消息。現(xiàn)在，您可能想知道如果接收者以外的其他人閱讀一個(gè)簡(jiǎn)單的“你好”會(huì)造成什么損害。真的！但你并不總是發(fā)送“你好”。我們生活在網(wǎng)絡(luò)世界中，您可能不會(huì)只是隨機(jī)發(fā)送“嗨”和“你好”。如果是您的銀行密碼怎么辦？

因此，加密是必不可少的。加密只是意味著使用算法將給定數(shù)據(jù)轉(zhuǎn)換為一組隨機(jī)字符，使其不可讀且無法被黑客讀取。因此，“hello”可以被加密為“ uwsg7ite46erghkjhbklh#45424&*^%$$ ”。除非你知道解密算法，否則無論你怎么努力都看不懂，前提是你不是阿爾伯特·愛因斯坦或智商超過 160 的人。

2. 使用專用網(wǎng)絡(luò)和 VPN 保護(hù) Web 服務(wù)器

您過去可能使用過 VPN，也許是為了訪問您當(dāng)?shù)胤山沟木W(wǎng)站上的某些內(nèi)容。與所有活動(dòng)都可見的開放網(wǎng)絡(luò)不同，私有網(wǎng)絡(luò)既不能被跟蹤也不能被訪問。這會(huì)降低您網(wǎng)絡(luò)上的風(fēng)險(xiǎn)，因?yàn)槿藗冊(cè)僖部床坏侥?。它就像存在于互?lián)網(wǎng)上，但沒有足跡。

專用網(wǎng)絡(luò)使用專用（與開放相反）IP 在服務(wù)器之間建立隔離的通信通道。這允許服務(wù)器通過相同的通道交換信息，而不會(huì)將數(shù)據(jù)包暴露給公眾。當(dāng)你想使用私有 IP 連接到 Web 服務(wù)器時(shí)，需要與服務(wù)器建立連接。只有建立此連接后，您才能交換機(jī)密信息。請(qǐng)注意，在成功建立連接之前，來自您 IP 的所有活動(dòng)都是可見的。

3. 制定嚴(yán)格的密碼規(guī)則

我們都知道如何設(shè)置密碼——保持最少 8 個(gè)字符，使用大寫字母、特殊字符和數(shù)字，同時(shí)盡可能保持無差別。您可以設(shè)置自己的密碼規(guī)則，服務(wù)器上的所有用戶都必須遵守該規(guī)則。您可以將所需的最少字符數(shù)更改為 10（可能），并將其與更嚴(yán)格的規(guī)則相結(jié)合，使您的密碼無法破解。

如果您有鎖定政策，它將對(duì)您有所幫助。注銷在其終端上有一段時(shí)間不活動(dòng)的用戶。部署強(qiáng)大的加密——反向加密就像躲避攻擊一樣。應(yīng)該不允許使用默認(rèn)密碼；強(qiáng)制在每臺(tái)計(jì)算機(jī)上設(shè)置密碼。

4. 設(shè)置密碼過期政策

除非絕對(duì)必要，否則用戶不會(huì)總是更改密碼。設(shè)置密碼到期時(shí)間，并在到期前一周提示用戶修改密碼。根據(jù)所需的安全級(jí)別，密碼可以持續(xù)一周到一個(gè)月之間的任何時(shí)間。我們已經(jīng)看到人們每隔一天更改一次密碼，但如果您存儲(chǔ)的數(shù)據(jù)不夠重要，則并非絕對(duì)必要。

5. 設(shè)置和維護(hù)防火墻

防火墻可幫助您控制和限制對(duì)系統(tǒng)的訪問。它通過監(jiān)視傳入和傳出系統(tǒng)的流量來實(shí)現(xiàn)。如果任何活動(dòng)看起來可疑，防火墻將阻止訪問并立即終止連接。CSF 和防火墻 對(duì)于創(chuàng)建嚴(yán)格的安全規(guī)則以允許和禁止網(wǎng)絡(luò)上的某些活動(dòng)至關(guān)重要。它只允許特定的連接，同時(shí)鎖定所有不必要的虛假服務(wù)訪問。您可以設(shè)置硬件和軟件啟用的防火墻。通過控制和限制對(duì)系統(tǒng)的訪問來保護(hù)您的服務(wù)器。

使用 CSF（ConfigServer 和防火墻）對(duì)于加強(qiáng)網(wǎng)絡(luò)安全至關(guān)重要。它只允許特定的重要連接，鎖定對(duì)其他服務(wù)的訪問。在初始 Web 服務(wù)器設(shè)置期間或在更改服務(wù)器提供的服務(wù)時(shí)設(shè)置防火墻。請(qǐng)注意，防火墻默認(rèn)允許一些服務(wù)，因此在將服務(wù)器連接到網(wǎng)絡(luò)之前檢查防火墻設(shè)置。

6. 用戶私人服務(wù)器和服務(wù)

您在共享托管服務(wù)器上（讓我們假設(shè)一下）。您服務(wù)器上的活動(dòng)對(duì)您的主機(jī)可見，也可能對(duì)其他網(wǎng)站可見。共享服務(wù)器提供沒有固定分區(qū)的單一空間，網(wǎng)站有點(diǎn)擠在那個(gè)空間里。然而，一些優(yōu)質(zhì)主機(jī)的共享服務(wù)器可與VPS 相媲美，但情況并非總是如此。

如果安全和隱私對(duì)您的組織至關(guān)重要，您應(yīng)該始終托管私人服務(wù)器——最好是專用托管。如果您可以將服務(wù)器并置到最近的數(shù)據(jù)中心，那就去做吧。從長(zhǎng)遠(yuǎn)來看，托管服務(wù)可以節(jié)省大量資金，并且是您在專用服務(wù)器上找到的最安全的服務(wù)。

7. 刪除或關(guān)閉所有不必要的服務(wù)

如果有十扇門通向一間公寓，您需要確保所有十扇門都安全。如果數(shù)量較少，則需要確保更少的門。這個(gè)想法是，網(wǎng)絡(luò)向量越少，您就可以更多地關(guān)注安全性。您可以刪除或關(guān)閉服務(wù)器上所有不必要的服務(wù)，從而減少受到攻擊的機(jī)會(huì)，因?yàn)槟枰Ｗo(hù)的端口更少。

大多數(shù) Linux 發(fā)行版都在 Internet 上尋找傳入連接，因此您應(yīng)該以僅允許特定端口并在出現(xiàn)提示時(shí)拒絕不必要的通信的方式配置防火墻。檢查您的軟件是否依賴于其他關(guān)鍵系統(tǒng)組件。您也需要保護(hù)這些組件。當(dāng)受到攻擊時(shí)，漏洞會(huì)首先侵入這些組件，然后再侵入用戶帳戶。

8. 管理用戶

每個(gè)服務(wù)器都有一個(gè) root 用戶，可以不受限制地控制系統(tǒng)。根用戶是您服務(wù)器的強(qiáng)大力量。它們使整個(gè)網(wǎng)絡(luò)保持運(yùn)行并管理與服務(wù)器相關(guān)的所有復(fù)雜性。

由于權(quán)限較大，您需要格外小心，以免 root 登錄落入壞人之手。這對(duì)您的服務(wù)器來說可能是毀滅性的。禁用 root 登錄并且僅在出現(xiàn)提示時(shí)才無法登錄是一種普遍的做法。為確保只有授權(quán)人員才能登錄，請(qǐng)創(chuàng)建一個(gè)受限用戶帳戶。此帳戶沒有與 root 用戶相同的權(quán)限，但具有足夠的訪問權(quán)限來解決所有問題。