黑客總是在尋找服務(wù)器漏洞。您有責(zé)任確保您的數(shù)據(jù)安全可靠。通過(guò)實(shí)施我們的服務(wù)器安全提示和最佳實(shí)踐，最大限度地降低風(fēng)險(xiǎn)并確保您的數(shù)據(jù)在安全服務(wù)器上是安全的。

安全的服務(wù)器連接

1.建立和使用安全連接

連接到遠(yuǎn)程服務(wù)器時(shí)，必須建立一個(gè)安全的通信通道。使用SSH（安全外殼）協(xié)議是建立受保護(hù)連接的最佳方式。與以前使用的Telnet不同，SSH 訪(fǎng)問(wèn)對(duì)交換中傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密。您需要安裝 SSH 守護(hù)程序并擁有一個(gè) SSH 客戶(hù)端，您可以使用該客戶(hù)端發(fā)出命令和管理服務(wù)器，以使用 SSH 協(xié)議進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)。默認(rèn)情況下，SSH 使用端口 22。每個(gè)人，包括黑客，都知道這一點(diǎn)。大多數(shù)人不會(huì)配置這個(gè)看似微不足道的細(xì)節(jié)。但是，更改端口號(hào)是減少黑客攻擊您的服務(wù)器機(jī)會(huì)的一種簡(jiǎn)單方法。因此，SSH 的最佳實(shí)踐是使用介于 1024 和 32,767 之間的端口號(hào)。注意：了解Telnet 和 SSH之間的所有區(qū)別以及何時(shí)使用它們。

2. 使用 SSH 密鑰認(rèn)證

您可以使用一對(duì) SSH 密鑰而不是密碼來(lái)驗(yàn)證 SSH 服務(wù)器，這是傳統(tǒng)登錄的更好替代方案。密鑰攜帶的位數(shù)比密碼多得多，并且大多數(shù)現(xiàn)代計(jì)算機(jī)都不容易破解。流行的 RSA 2048 位加密相當(dāng)于 617 位密碼。密鑰對(duì)由公鑰和私鑰組成。

公鑰有多個(gè)副本，其中一個(gè)保留在服務(wù)器上，而其他的則與用戶(hù)共享。任何擁有公鑰的人都有權(quán)加密數(shù)據(jù)，而只有擁有相應(yīng)私鑰的用戶(hù)才能讀取這些數(shù)據(jù)。私鑰不與任何人共享，必須保持安全。建立連接時(shí)，服務(wù)器會(huì)在允許特權(quán)訪(fǎng)問(wèn)之前詢(xún)問(wèn)用戶(hù)擁有私鑰的證據(jù)。

3. 安全文件傳輸協(xié)議

為了在不存在黑客破壞或竊取數(shù)據(jù)的危險(xiǎn)的情況下與服務(wù)器傳輸文件，使用安全文件傳輸協(xié)議 (FTPS)至關(guān)重要。它加密數(shù)據(jù)文件和您的身份驗(yàn)證信息。FTPS同時(shí)使用命令通道和數(shù)據(jù)通道，用戶(hù)可以同時(shí)加密。請(qǐng)記住，它僅在傳輸過(guò)程中保護(hù)文件。一旦它們到達(dá)服務(wù)器，數(shù)據(jù)就不再加密。出于這個(gè)原因，在發(fā)送文件之前對(duì)其進(jìn)行加密會(huì)增加另一層安全性。

4. 安全套接層證書(shū)

使用安全套接字層 (SSL)保護(hù)您的 Web 管理區(qū)域和表單，以保護(hù)通過(guò) Internet 在兩個(gè)系統(tǒng)之間傳遞的信息。SSL 既可用于服務(wù)器-客戶(hù)端通信，也可用于服務(wù)器-服務(wù)器通信。該程序?qū)?shù)據(jù)進(jìn)行加擾，以便敏感信息（如姓名、身份證、信用卡號(hào)和其他個(gè)人信息）在傳輸過(guò)程中不會(huì)被盜。擁有SSL 證書(shū)的網(wǎng)站在 URL 中包含 HTTPS，表明它們是安全的。證書(shū)不僅加密數(shù)據(jù)，還用于用戶(hù)身份驗(yàn)證。因此，通過(guò)管理服務(wù)器的證書(shū)，它有助于建立用戶(hù)權(quán)限。管理員可以將服務(wù)器配置為與集中式權(quán)威機(jī)構(gòu)以及該機(jī)構(gòu)簽署的任何其他證書(shū)進(jìn)行通信。

5. 使用專(zhuān)用網(wǎng)絡(luò)和虛擬專(zhuān)用網(wǎng)絡(luò)

確保安全通信的另一種方法是使用專(zhuān)用和虛擬專(zhuān)用網(wǎng)絡(luò)等軟件。與外部世界可以訪(fǎng)問(wèn)并因此容易受到惡意用戶(hù)攻擊的開(kāi)放網(wǎng)絡(luò)不同，私有和虛擬私有網(wǎng)絡(luò)限制對(duì)選定用戶(hù)的訪(fǎng)問(wèn)。私有網(wǎng)絡(luò)使用私有 IP 在同一范圍內(nèi)的服務(wù)器之間建立隔離的通信通道。這允許同一帳戶(hù)下的多個(gè)服務(wù)器在不暴露于公共空間的情況下交換信息和數(shù)據(jù)。如果您想像通過(guò)專(zhuān)用網(wǎng)絡(luò)在本地連接一樣連接到遠(yuǎn)程服務(wù)器，請(qǐng)使用虛擬專(zhuān)用網(wǎng)絡(luò)。它支持完全安全和私有的連接，并且可以包含多個(gè)遠(yuǎn)程服務(wù)器。為了使服務(wù)器在同一個(gè)虛擬專(zhuān)用網(wǎng)絡(luò)下進(jìn)行通信，它們必須共享安全和配置數(shù)據(jù)。

服務(wù)器用戶(hù)管理

6.監(jiān)控登錄嘗試

使用入侵防御軟件來(lái)監(jiān)控登錄嘗試是一種保護(hù)您的服務(wù)器免受暴力攻擊的方法。這些自動(dòng)攻擊使用試錯(cuò)法，嘗試使用字母和數(shù)字的所有可能組合來(lái)訪(fǎng)問(wèn)系統(tǒng)。入侵防御軟件監(jiān)控所有日志文件并檢測(cè)是否有可疑的登錄嘗試。如果嘗試次數(shù)超過(guò)設(shè)定的標(biāo)準(zhǔn)，入侵防御軟件會(huì)在一段時(shí)間甚至無(wú)限期封鎖 IP 地址。

7.管理用戶(hù)

每個(gè)服務(wù)器都有一個(gè)可以執(zhí)行任何命令的 root 用戶(hù)。由于它具有強(qiáng)大的功能，如果它落入壞人之手，根可能對(duì)您的服務(wù)器非常危險(xiǎn)。在 SSH 中完全禁用 root 登錄是一種普遍的做法。由于 root 用戶(hù)擁有最大的權(quán)力，因此黑客將注意力集中在試圖破解該特定用戶(hù)的密碼上。如果您決定完全禁用此用戶(hù)，您將使攻擊者處于不利地位，并使您的服務(wù)器免受潛在威脅。為確保外人不會(huì)濫用 root 權(quán)限，您可以創(chuàng)建受限用戶(hù)帳戶(hù)。此帳戶(hù)沒(méi)有與 root 相同的權(quán)限，但仍能夠使用sudo 命令執(zhí)行管理任務(wù)。因此，您可以作為受限用戶(hù)帳戶(hù)管理大部分任務(wù)，并僅在必要時(shí)使用 root 帳戶(hù)。

服務(wù)器密碼安全

8. 建立密碼要求

首先是設(shè)置服務(wù)器上所有成員必須遵守的密碼要求和規(guī)則。不允許使用空密碼或默認(rèn)密碼。強(qiáng)制執(zhí)行最小密碼長(zhǎng)度和復(fù)雜性。制定鎖定政策。不要使用可逆加密存儲(chǔ)密碼。強(qiáng)制會(huì)話(huà)超時(shí)不活動(dòng)并啟用兩因素身份驗(yàn)證。

9.設(shè)置密碼過(guò)期策略

在為用戶(hù)建立要求時(shí)，設(shè)置密碼的到期日期是另一種常規(guī)做法。根據(jù)所需的安全級(jí)別，密碼可能會(huì)持續(xù)幾周或幾個(gè)月。

10. 使用密碼短語(yǔ)作為服務(wù)器密碼

使用密碼短語(yǔ)而不是密碼有助于提高服務(wù)器安全性的原因有很多。兩者之間的主要區(qū)別在于密碼更長(zhǎng)并且在單詞之間包含空格。因此，它通常是一個(gè)句子，但它不一定是一個(gè)。給定的示例比普通密碼長(zhǎng)，它包含大小寫(xiě)字母、數(shù)字和唯一字符。此外，記住密碼短語(yǔ)比記住一串隨機(jī)字母要容易得多。最后，由于它由 49 個(gè)字符組成，因此更難破解。

11.密碼不要

如果您想維護(hù)一個(gè)安全的服務(wù)器，在密碼方面您需要避免一些事情。首先，請(qǐng)注意存儲(chǔ)密碼的位置。請(qǐng)勿將它們寫(xiě)在紙上并將它們藏在辦公室周?chē)?。通常建議不要使用您的生日、家鄉(xiāng)、寵物名字和其他可以將您（用戶(hù)）與密碼聯(lián)系起來(lái)的個(gè)人信息。這些非常容易猜到，尤其是認(rèn)識(shí)您的人。

只包含簡(jiǎn)單字典單詞的密碼也很容易被破解，尤其是字典（蠻力）攻擊。請(qǐng)注意同樣的風(fēng)險(xiǎn)，盡量避免在同一個(gè)密碼中重復(fù)字符序列。最后，不要對(duì)多個(gè)帳戶(hù)使用相同的密碼。通過(guò)回收密碼，您將自己置于重大風(fēng)險(xiǎn)之中。如果黑客設(shè)法訪(fǎng)問(wèn)單個(gè)帳戶(hù)，則具有相同密碼的所有其他帳戶(hù)都可能處于危險(xiǎn)之中。嘗試為每個(gè)單獨(dú)的帳戶(hù)使用不同的密碼，并使用 KeePass 等密碼管理器跟蹤它們。保護(hù)服務(wù)器的其他最佳實(shí)踐

12.定期更新和升級(jí)軟件

定期更新服務(wù)器上的軟件是保護(hù)其免受黑客攻擊的關(guān)鍵步驟。過(guò)時(shí)軟件的弱點(diǎn)已經(jīng)被探索過(guò)了，讓黑客可以利用這些弱點(diǎn)并損害您的系統(tǒng)。如果您使所有內(nèi)容保持最新，則可以確保對(duì)其進(jìn)行更新以在第一道防線(xiàn)中保護(hù)自己。自動(dòng)更新是確保不會(huì)忘記更新的一種方式。但是，允許系統(tǒng)自行進(jìn)行此類(lèi)更改可能是有風(fēng)險(xiǎn)的。在更新生產(chǎn)環(huán)境之前，最好檢查更新在測(cè)試環(huán)境中的執(zhí)行情況。確保定期更新服務(wù)器控制面板。您還需要定期更新內(nèi)容管理系統(tǒng)（如果您使用一個(gè)）以及它可能具有的任何插件。每個(gè)新版本都包含用于修復(fù)已知安全問(wèn)題的安全補(bǔ)丁。

13.刪除或關(guān)閉所有不必要的服務(wù)

通過(guò)減少所謂的攻擊向量來(lái)提高服務(wù)器安全性。這個(gè)網(wǎng)絡(luò)安全術(shù)語(yǔ)是指僅安裝和維護(hù)保持服務(wù)運(yùn)行所需的最低要求。只需啟用操作系統(tǒng)使用的網(wǎng)絡(luò)端口和已安裝的組件。系統(tǒng)上的資源越少越好。Windows 操作系統(tǒng)服務(wù)器應(yīng)該只具有所需的操作系統(tǒng)組件。Linux 操作系統(tǒng)服務(wù)器應(yīng)該具有最小安裝，只安裝真正需要的軟件包。由于大多數(shù) Linux 發(fā)行版?zhèn)陕?tīng) Internet 上的傳入連接，因此您希望將防火墻配置為僅允許特定端口并拒絕所有其他不必要的通信。在您的系統(tǒng)上安裝軟件之前檢查依賴(lài)項(xiàng)，以確保您沒(méi)有添加任何您不需要的東西。此外，檢查您的系統(tǒng)上自動(dòng)啟動(dòng)了哪些依賴(lài)項(xiàng)，以及您是否希望它們?cè)谀抢铩?/p>

14.隱藏服務(wù)器信息

盡量少提供有關(guān)底層基礎(chǔ)設(shè)施的信息。對(duì)服務(wù)器了解得越少越好。此外，最好隱藏您在服務(wù)器上安裝的任何軟件的版本號(hào)。默認(rèn)情況下，它們通常會(huì)顯示確切的發(fā)布日期，這可以幫助黑客在尋找弱點(diǎn)時(shí)提供幫助。通過(guò)從問(wèn)候橫幅的 HTTP 標(biāo)頭中刪除此信息通常很簡(jiǎn)單。

15.使用入侵檢測(cè)系統(tǒng)

要檢測(cè)任何未經(jīng)授權(quán)的活動(dòng)，請(qǐng)使用入侵檢測(cè)系統(tǒng) (IDS)，例如 Sophos，它會(huì)監(jiān)控服務(wù)器上運(yùn)行的進(jìn)程。您可以將其設(shè)置為檢查日常操作、運(yùn)行定期自動(dòng)掃描或決定手動(dòng)運(yùn)行 IDS。

16. 文件審核

文件審核是發(fā)現(xiàn)系統(tǒng)上不需要的更改的另一種好方法。當(dāng)系統(tǒng)處于良好的“健康”狀態(tài)時(shí)，它會(huì)記錄系統(tǒng)的所有特征，并將其與當(dāng)前狀態(tài)進(jìn)行比較。通過(guò)并排比較同一系統(tǒng)的兩個(gè)版本，您可以檢測(cè)所有不一致之處并跟蹤其來(lái)源。

17. 服務(wù)審計(jì)

服務(wù)審計(jì)探索服務(wù)器上正在運(yùn)行的服務(wù)、它們的協(xié)議以及它們通過(guò)哪些端口進(jìn)行通信。了解這些細(xì)節(jié)有助于在系統(tǒng)中配置攻擊面。

18. 設(shè)置和維護(hù)防火墻

通過(guò)控制和限制對(duì)系統(tǒng)的訪(fǎng)問(wèn)來(lái)保護(hù)您的服務(wù)器。使用 CSF（ConfigServer 和防火墻）對(duì)于加強(qiáng)服務(wù)器的安全性至關(guān)重要。它只允許特定的重要連接，鎖定對(duì)其他服務(wù)的訪(fǎng)問(wèn)。在初始服務(wù)器設(shè)置或更改服務(wù)器提供的服務(wù)時(shí)設(shè)置防火墻。默認(rèn)情況下，典型的服務(wù)器運(yùn)行不同的服務(wù)，包括公共服務(wù)、私有服務(wù)和內(nèi)部服務(wù)。公共服務(wù)通常由需要允許訪(fǎng)問(wèn)網(wǎng)站的 Web 服務(wù)器運(yùn)行。任何人都可以通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)這些服務(wù)，通常是匿名的。

例如，在處理數(shù)據(jù)庫(kù)控制面板時(shí)會(huì)使用私有服務(wù)。在這種情況下，許多選定的人需要訪(fǎng)問(wèn)同一點(diǎn)。他們?cè)诜?wù)器內(nèi)擁有具有特殊權(quán)限的授權(quán)帳戶(hù)。內(nèi)部服務(wù)是永遠(yuǎn)不應(yīng)該暴露在互聯(lián)網(wǎng)或外部世界的服務(wù)。它們只能從服務(wù)器內(nèi)部訪(fǎng)問(wèn)，并且只接受本地連接。防火墻的作用是根據(jù)用戶(hù)被授權(quán)的服務(wù)來(lái)允許、限制和過(guò)濾訪(fǎng)問(wèn)。將防火墻配置為限制所有服務(wù)，但您的服務(wù)器必須提供的服務(wù)除外。

19. 備份你的服務(wù)器

盡管前面提到的步驟旨在保護(hù)您的服務(wù)器數(shù)據(jù)，但備份系統(tǒng)以防出現(xiàn)問(wèn)題至關(guān)重要。將關(guān)鍵數(shù)據(jù)的加密備份存儲(chǔ)在異地或使用云解決方案。無(wú)論您有自動(dòng)備份作業(yè)還是手動(dòng)執(zhí)行它們，請(qǐng)確保定期執(zhí)行此預(yù)防措施。此外，您應(yīng)該測(cè)試備份，進(jìn)行全面的備份測(cè)試。這應(yīng)該包括管理員甚至最終用戶(hù)驗(yàn)證數(shù)據(jù)恢復(fù)是否一致的“健全性檢查”。

20. 創(chuàng)建多服務(wù)器環(huán)境

隔離是您可以擁有的最佳服務(wù)器保護(hù)類(lèi)型之一。完全分離需要擁有不與其他服務(wù)器共享任何組件的專(zhuān)用裸機(jī)服務(wù)器。盡管這是最容易管理并提供最高安全性的方法，但它也是最昂貴的。在數(shù)據(jù)中心擁有隔離的執(zhí)行環(huán)境允許所謂的職責(zé)分離 (SoD) 并根據(jù)服務(wù)器實(shí)現(xiàn)的功能設(shè)置服務(wù)器配置。分離數(shù)據(jù)庫(kù)服務(wù)器和 Web 應(yīng)用程序服務(wù)器是一種標(biāo)準(zhǔn)的安全實(shí)踐。單獨(dú)的執(zhí)行環(huán)境對(duì)無(wú)法承受任何安全漏洞的大型企業(yè)特別有利。獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器保護(hù)敏感信息和系統(tǒng)文件免受黑客的攻擊，這些黑客設(shè)法獲得了對(duì)管理帳戶(hù)的訪(fǎng)問(wèn)權(quán)限。此外，隔離允許系統(tǒng)管理員單獨(dú)配置 Web 應(yīng)用程序安全性并通過(guò)設(shè)置 Web 應(yīng)用程序防火墻來(lái)最小化攻擊面。

21. 創(chuàng)建虛擬隔離環(huán)境

如果您負(fù)擔(dān)不起或不需要使用專(zhuān)用服務(wù)器組件進(jìn)行完全隔離，您也可以選擇隔離執(zhí)行環(huán)境。這樣做可以幫助您處理可能出現(xiàn)的任何安全問(wèn)題，確保其他數(shù)據(jù)不受影響。您可以在更容易設(shè)置的容器或 VM 虛擬化之間進(jìn)行選擇。UNIX 操作系統(tǒng)中虛擬化環(huán)境的另一個(gè)選擇是創(chuàng)建 chroot jails。Chroot 將一個(gè)進(jìn)程從中央操作系統(tǒng)的根目錄中分離出來(lái)，并允許它僅訪(fǎng)問(wèn)其目錄樹(shù)中的文件。然而，這并不是完全的隔離，只能與其他安全措施一起實(shí)施。