您的服務器是您的業務。這是21世紀的事實。您的服務器可以成就或破壞您的業務。維護良好的服務器可以推動您的業務向前發展并帶來收入。管理不善的服務器可能意味著丟失業務、數據或客戶信息，這對公司來說即使不是完全致命的，也可能是嚴重的。由于它們扮演的關鍵角色，存儲在您的服務器上的機密組織數據和信息非常有價值。有一句流行的說法，“數據是新的石油”。或黃金，隨你選擇。如果您不確定如何保護您的服務器，或者您不確定是否已經涵蓋了所有基礎知識，本文將提供一些可用于保護您的服務器的安全提示。

服務器安全的 12 個技巧

保持軟件和操作系統更新

在服務器安全方面，掌握與軟件和操作系統相關的安全修復程序至關重要。由于未打補丁的軟件，系統黑客和妥協經常發生。通常，軟件供應商會向客戶推送更新通知，您不應拖延。服務器軟件在發布之前已經過廣泛測試，但您可能希望測試與您自己的環境的兼容性問題。補丁管理工具可以提供幫助，漏洞掃描工具和其他尋找安全漏洞的工具也可以提供幫助。

盡可能自動化和使用人工智能

犯錯是人為的，大多數主要服務器中斷都是由人為錯誤造成的。人們超負荷工作，可能會錯過一些東西。為了執行功能一，盡可能允許自動化。例如，大多數系統都支持補丁的自動下載和安裝，并且越來越多的 AI 產品可以監控、保護和升級您的系統。

使用虛擬專用網絡

專用網絡基于 Internet 協議地址空間。一個虛擬專用網絡被認為是私人，因為沒有互聯網協議地址的數據包通過公共網絡進行傳輸。虛擬專用網絡將允許您在位于不同地方的不同計算機設備之間建立連接。它可以讓您以安全的方式在您的服務器上執行操作。您可以與同一帳戶上的其他服務器交換信息，而不會受到外部威脅。為了確保您的服務器安全，您應該設置一個虛擬專用網絡。

考慮零信任網絡

防火墻和虛擬專用網絡的弱點之一是它們不能阻止內部移動。一旦黑客突破了您的圍墻，他們幾乎可以在整個網絡中自由移動。這就是零信任網絡的用武之地。顧名思義，零信任網絡不允許受信任的用戶或設備訪問任何內容，除非另有證明。這被稱為“最低權限”方法，它需要對所有內容進行嚴格的訪問控制。

加密一切

任何數據都不應在未加密的情況下在您的服務器上移動。安全套接字層證書是保護兩個系統之間通過 Internet 進行通信的安全協議。嗯，這同樣適用于您的內部系統。對于 SSL 證書，只有預期的接收者才能擁有解密信息的密鑰。連接到遠程服務器時，使用 SSH（Secure Shell）對交換中傳輸的所有數據進行加密。使用 SSH 密鑰使用 RSA 2048 位加密，而不是使用更容易破解的密碼對 SSH 服務器進行身份驗證。要在服務器之間傳輸文件，請使用文件傳輸協議安全 (FTPS)。它加密數據文件和您的身份驗證信息。最后，需要來自防火墻外部的連接才能使用虛擬專用網絡。虛擬專用網絡使用自己的具有私有 IP 的私有網絡在服務器之間建立隔離的通信通道。

不要只使用標準防火墻

防火墻是確保您的服務器安全的必備條件，但防火墻不僅僅是本地防火墻。還有一些托管安全服務提供商 (MSSP) 為您的網絡提供托管防火墻服務。根據服務協議的范圍，MSSP 可以執行防火墻安裝、應用程序控制和 Web 內容過濾，因為它們有助于確定要阻止的應用程序和 Web 內容 (URLS)。他們還將幫助管理修補和更新。有100 個 MSSP可供選擇。

更改默認值

大多數系統中的默認帳戶是 root 帳戶，這是黑客的目標。所以擺脫它。名為 admin 的帳戶也是如此。不要在您的網絡上使用明顯的帳戶名稱。您可以通過減少所謂的攻擊向量來提高服務器安全性，攻擊向量是運行所需的最低限度服務的過程。Windows 和 Linux 的服務器版本帶有大量服務，如果不需要，您應該關閉這些服務。Wi-Fi 接入端口默認廣播其身份，因此如果您在范圍內，您的端點設備將看到它。進入訪問端口并關閉廣播，因此任何想要使用它的人都必須知道訪問點的實際名稱。并且不要使用制造商的默認名稱。

創建多服務器或虛擬環境

隔離是您可以擁有的最佳服務器保護類型之一，因為如果一臺服務器受到威脅，黑客就會被鎖定在該服務器上。例如，標準做法是將數據庫服務器與 Web 應用程序服務器分開。完全分離需要擁有不與其他服務器共享任何組件的專用金屬服務器。這意味著更多的硬件，可以加起來。相反，虛擬化可以用作隔離環境。在數據中心擁有隔離的執行環境允許所謂的職責分離 (SoD)。SoD 遵循“最低權限”原則，這實質上意味著用戶不應擁有比完成日常任務所需的更多權限。為了保護和保護系統和數據，必須建立一個用戶層次結構，每個用戶都有自己的用戶 ID 和盡可能少的權限。如果您負擔不起或不需要使用專用服務器組件進行完全隔離，您還可以選擇隔離執行環境，也稱為虛擬機和容器。此外，來自 Intel 和 AMD的最新服務器處理器具有專門的 VM 加密，以便將 VM 與其他 VM 隔離。因此，如果一個 VM 遭到破壞，黑客將無法訪問其他 VM。

密碼正確

密碼總是一個安全問題，因為人們對它們太草率了。他們在任何地方都使用相同的密碼，或者使用簡單、容易猜到的密碼，如“password”、“abcde”或“123456”。您也可能根本沒有任何密碼。要求密碼包含大小寫字母、數字和符號的混合。強制定期更改密碼，使用一次后禁用舊密碼。

關閉隱藏的開放端口

攻擊可能來自您甚至沒有意識到是開放的開放端口。因此，不要假設您知道每個端口；這是不可能的。不是絕對必要的端口應該關閉。Windows Server 和 Linux 共享一個名為 netstat 的通用命令，該命令可用于確定哪些端口正在偵聽，同時還可以揭示當前可能可用的連接的詳細信息。

• 所有端口的信息——“netstat -s”
• 列出所有 TCP 端口——“netstat -at”
• 列出所有 UDP 端口——“netstat -au”
• 所有打開的監聽端口——“netstat -l”

經常正確地進行備份

2009 年，一個充滿飛行模擬文件的服務器遭到黑客攻擊，其內容被破壞。該站點分布在兩臺服務器上，并相互用作備份；服務器A備份到服務器B，服務器B備份到服務器A。結果一切都丟失了。不要像那個網站。您不僅需要定期進行計劃備份，而且還應該將它們備份到您網絡之外的異地位置。異地備份是必要的，尤其是對于勒索軟件攻擊，您只需擦除受感染的驅動器并恢復它即可。還可以考慮災難恢復即服務 (DRaaS)，這是眾多即服務產品之一，它通過云計算模型提供備份。它由許多本地供應商和云服務提供商提供。無論您有自動備份作業還是手動執行，請務必測試備份。這應該包括健全性檢查，管理員甚至最終用戶都可以在其中驗證數據恢復是否一致。

執行定期和頻繁的安全審計

如果沒有定期審核，就不可能知道問題可能存在于何處或如何解決這些問題以確保您的服務器得到充分保護。檢查您的日志是否有可疑或異常活動。檢查軟件、操作系統和硬件固件更新。檢查系統性能。黑客通常會導致系統活動激增，異常驅動器或 CPU 或網絡流量可能是跡象。服務器不是一勞永逸的，必須經常檢查。