互聯(lián)網(wǎng)時(shí)代的到來(lái)對(duì)企業(yè)的經(jīng)營(yíng)方式產(chǎn)生了深遠(yuǎn)的影響。如果大多數(shù)公司想要保持相關(guān)性和競(jìng)爭(zhēng)力，那么維持在線形象就不再是可選的了。現(xiàn)有和潛在客戶使用 Internet 進(jìn)行購(gòu)買、管理他們的帳戶、研究產(chǎn)品等等。這樣做的好處是無(wú)法估量的，但它并非沒(méi)有黑暗的一面——黑客。由于您的網(wǎng)站和在線聲譽(yù)如此之多，因此確保您的服務(wù)器安全絕對(duì)至關(guān)重要。

安全專業(yè)人員的整個(gè)職業(yè)生涯都致力于跟上在線威脅不斷發(fā)展的本質(zhì)，而全球公司擁有擁有大量資源的完整團(tuán)隊(duì)，致力于確保其在線資產(chǎn)的安全。承擔(dān)保護(hù)服務(wù)器安全的工作似乎是一項(xiàng)艱巨的任務(wù)，但我們隨時(shí)為您提供幫助！我們已經(jīng)確定了一些關(guān)鍵做法，這些做法可以保護(hù)您的服務(wù)器，足以抵御絕大多數(shù)攻擊，并勸阻除最精英黑客之外的所有人。使用這些方法來(lái)保護(hù)您的服務(wù)器并不需要大量的系統(tǒng)管理能力，但如果您愿意將其交給我們有能力的人 ，請(qǐng)查看我們的管理計(jì)劃和SecureServer+服務(wù)。

躲在防火墻后面

任何安全環(huán)境的第一道防線都是防火墻。有幾種防火墻可供選擇，但它們通常都具有相同的基本功能。防火墻是駐留在互聯(lián)網(wǎng)和服務(wù)器上任何面向網(wǎng)絡(luò)的服務(wù)之間的應(yīng)用程序或物理設(shè)備。它充當(dāng)網(wǎng)絡(luò)流量的看門人，使用一組規(guī)則過(guò)濾入站和出站連接。然而，防火墻的好壞取決于它使用的規(guī)則。配置良好的防火墻可以過(guò)濾掉絕大多數(shù)惡意連接，而配置不當(dāng)?shù)姆阑饓t效率低下。

第一個(gè)決定是硬件還是軟件。大多數(shù)現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的軟件防火墻應(yīng)用程序，這通常就足夠了。專用設(shè)備，也稱為硬件防火墻，通常用于多服務(wù)器環(huán)境的前面，為防火墻管理提供單點(diǎn)。

無(wú)論您最終使用哪種類型的防火墻，下一步都是定義一套好的規(guī)則。配置防火墻時(shí)的第 1 條規(guī)則，尤其是遠(yuǎn)程配置時(shí)，要非常小心，不要通過(guò)阻止您用于訪問(wèn)防火墻的連接來(lái)鎖定自己。如果您不小心阻止了自己的連接（通常是物理控制臺(tái)或帶外控制臺(tái)解決方案（如 IPMI、ILO 或 DRAC），那么使用備用訪問(wèn)方法來(lái)更改防火墻規(guī)則始終是一個(gè)好習(xí)慣。

首先考慮您的服務(wù)器提供哪些服務(wù)。網(wǎng)絡(luò)服務(wù)利用特定端口來(lái)幫助區(qū)分連接類型。將它們想象成一條非常寬的高速公路上的車道，帶有分隔線以防止有人改變車道。例如，Web 服務(wù)器通常將端口 80 用于標(biāo)準(zhǔn)連接，將端口 443 用于使用 SSL 證書(shū)保護(hù)的連接。這些服務(wù)可以配置為使用非標(biāo)準(zhǔn)端口，因此請(qǐng)務(wù)必驗(yàn)證您的服務(wù)正在使用哪些端口。

接下來(lái)，確定您將如何遠(yuǎn)程管理您的服務(wù)器。在 Windows 上，這通常通過(guò) RDP（遠(yuǎn)程桌面協(xié)議）完成，而在 Linux 上，您可能會(huì)使用 SSH（安全外殼）。理想情況下，您將希望阻止對(duì)除少數(shù) IP 或小子網(wǎng)之外的所有 IP 或小子網(wǎng)的管理端口的訪問(wèn)，以限制組織內(nèi)任何人對(duì)這些協(xié)議的訪問(wèn)。例如，如果您是 Linux 服務(wù)器的唯一管理員，請(qǐng)打開(kāi) SSH 端口（通常為 22）以僅來(lái)自您計(jì)算機(jī)的靜態(tài) IP 地址的連接。如果您沒(méi)有靜態(tài) IP 地址，您通常可以確定一個(gè)子網(wǎng)，您將從該子網(wǎng)中分配一個(gè) IP。雖然將一系列 IP 列入白名單并不理想，但它比將該端口開(kāi)放給整個(gè)互聯(lián)網(wǎng)要好得多。

要生成一組可靠的規(guī)則，請(qǐng)阻止來(lái)自所有 IP 的所有端口，然后創(chuàng)建特定規(guī)則以打開(kāi)您的服務(wù)和管理所需的端口——記住不要將自己鎖定在外。為您的服務(wù)打開(kāi)的端口通常應(yīng)從所有 IP 開(kāi)放，但如上所述限制管理端口。

雖然防火墻不應(yīng)該是您唯一的防線，但創(chuàng)建一組合理的防火墻規(guī)則是增強(qiáng)服務(wù)器安全性的一個(gè)很好的起點(diǎn)。事實(shí)上，任何服務(wù)器都不應(yīng)該沒(méi)有基本的防火墻配置。

身份驗(yàn)證和密碼

增強(qiáng)服務(wù)器安全性的最簡(jiǎn)單方法之一就是強(qiáng)制執(zhí)行強(qiáng)身份驗(yàn)證策略。您的服務(wù)器僅與密碼最弱的帳戶一樣安全。對(duì)于在服務(wù)器上使用的任何密碼，請(qǐng)遵循良好的密碼準(zhǔn)則，例如確保您的密碼長(zhǎng)度足夠，而不是字典單詞，并且不要用于其他本身可能會(huì)受到損害并泄露您的密碼的服務(wù)。雖然您可以通過(guò)良好的防火墻配置限制對(duì)服務(wù)器的遠(yuǎn)程訪問(wèn)，但仍有一些漏洞可用于通過(guò)在開(kāi)放網(wǎng)絡(luò)端口上運(yùn)行的受損或未修補(bǔ)服務(wù)向系統(tǒng)發(fā)送命令。

在許多情況下，完全沒(méi)有密碼是可能的（而且更方便）！如果您訪問(wèn)服務(wù)器的主要方法是通過(guò) SSH，您可以在服務(wù)器的 SSH 配置文件中禁用密碼驗(yàn)證，而是使用一對(duì)公鑰和私鑰來(lái)授權(quán)您的連接。

請(qǐng)記住，如果您需要能夠隨時(shí)從任何地方登錄到您的服務(wù)器，則此方法可能不太方便，因?yàn)槟枰獙⒛乃借€添加到您正在連接的任何新系統(tǒng)。此外，雖然這種方法使遠(yuǎn)程連接的安全性提高了一個(gè)數(shù)量級(jí)，但請(qǐng)不要忘記在您的帳戶上設(shè)置一個(gè)強(qiáng)密碼。黑客有時(shí)能夠以其他方式訪問(wèn)系統(tǒng)，并且您不希望擁有一個(gè)由“1234”之類的密碼保護(hù)的具有高級(jí)訪問(wèn)權(quán)限的帳戶。

如今，兩因素身份驗(yàn)證 (2FA) 變得非常流行。使用 2FA 時(shí)，用戶不僅需要使用密碼進(jìn)行身份驗(yàn)證，還需要提供一次性使用代碼，發(fā)送到之前注冊(cè)的電子郵件地址或移動(dòng)設(shè)備，以進(jìn)一步驗(yàn)證其身份。可以通過(guò)第三方服務(wù)或使用啟用 2FA 的帳戶（如 Google 或 Microsoft）在您的服務(wù)器上實(shí)施類似的操作。cPanel\WHM 現(xiàn)在支持雙重身份驗(yàn)證，因此如果您將此控制面板用作服務(wù)器管理的主要方式，這可能是您的一個(gè)選項(xiàng)。

蠻力保護(hù)

服務(wù)器上常見(jiàn)的攻擊向量是蠻力攻擊。這些是使用猜測(cè)的用戶名和密碼進(jìn)行的遠(yuǎn)程登錄嘗試，一遍又一遍地重復(fù)，只要服務(wù)器和網(wǎng)絡(luò)允許的話。在不受保護(hù)的情況下，每天可能會(huì)進(jìn)行數(shù)十萬(wàn)次嘗試——足以在一個(gè)月內(nèi)破解任何 8 個(gè)字符的密碼。出于這個(gè)原因，在您的服務(wù)器上安裝某種形式的蠻力保護(hù)是明智的。

大多數(shù)蠻力保護(hù)方法采用兩種形式之一。第一種方法在登錄嘗試之間引入了超時(shí)。即使此超時(shí)時(shí)間只有一秒，這也可能導(dǎo)致攻擊花費(fèi)數(shù)倍的時(shí)間來(lái)破解密碼。您可能需要更長(zhǎng)的超時(shí)時(shí)間以提供更好的安全性，同時(shí)又不會(huì)過(guò)度干擾用戶輸入錯(cuò)誤的合法登錄嘗試。一些系統(tǒng)對(duì)這種方法采取了一種巧妙的方法，通過(guò)增加每次失敗嘗試的超時(shí)時(shí)間，通常是指數(shù)級(jí)的。失敗一次，等待1秒。再次失敗，等待 5 秒。第三次失敗，等待 30 秒……到第四次嘗試時(shí)，您將非常小心地輸入密碼。

或者，此方法的變體對(duì)在設(shè)定的時(shí)間段內(nèi)允許的嘗試次數(shù)設(shè)置了硬上限。登錄失敗次數(shù)過(guò)多會(huì)導(dǎo)致帳戶被鎖定——無(wú)論是暫時(shí)的，還是在更極端的情況下，直到被服務(wù)器管理員解鎖。這種方法有效地阻止了任何暴力攻擊，但對(duì)于那些在輸入密碼時(shí)不太小心的有效用戶來(lái)說(shuō)可能會(huì)更煩人。

第二種方法是在登錄請(qǐng)求中引入驗(yàn)證碼。這迫使用戶執(zhí)行一項(xiàng)對(duì)人類來(lái)說(shuō)微不足道但對(duì)計(jì)算機(jī)來(lái)說(shuō)卻很困難的壯舉。通常，這涉及某種圖像識(shí)別，例如識(shí)別網(wǎng)格中包含路燈的所有圖片，或破譯一些以模糊字體書(shū)寫的文本。雖然計(jì)算機(jī)通常最終能夠解決這些請(qǐng)求，但它比普通人花費(fèi)的時(shí)間要長(zhǎng)得多，并且大大減慢了攻擊速度。驗(yàn)證碼還經(jīng)常用于保護(hù)公眾評(píng)論部分免受垃圾郵件帖子和注冊(cè)表單的虛假帳戶創(chuàng)建。

蠻力保護(hù)可以在許多防火墻或操作系統(tǒng)本身中找到——但不要忘記其他帳戶，例如 WordPress、cPanel/WHM 等。確保任何暴露的登錄都啟用了某種形式的蠻力保護(hù)。

軟件更新和安全補(bǔ)丁

軟件和操作系統(tǒng)更新以及安全補(bǔ)丁對(duì)于維護(hù)安全服務(wù)器也很重要。如果您運(yùn)行的是易受已知漏洞攻擊的過(guò)時(shí)版本的操作系統(tǒng)，您的所有其他努力都將毫無(wú)意義，并且完全白費(fèi)。

大多數(shù)軟件和操作系統(tǒng)供應(yīng)商都投入了大量資源來(lái)保持他們的產(chǎn)品針對(duì)最近發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)，以至于許多次要版本包含的安全修復(fù)比功能更新更多。對(duì)其產(chǎn)品的舊版本保持這種級(jí)別的警惕性可能會(huì)付出高昂的代價(jià)，因此軟件和操作系統(tǒng)通常會(huì)在多年后被歸類為生命周期結(jié)束 (EOL)。除其他外，這意味著該產(chǎn)品將不再接收在達(dá)到 EOL 后可能發(fā)現(xiàn)的漏洞的更新。

這種類型的常見(jiàn)案例與 PHP 相關(guān)，PHP 是 Web 上常用的一種腳本語(yǔ)言。在本文發(fā)布時(shí)，所有早于 7.2 的 PHP 版本都已停產(chǎn)。盡管如此，5.3 之前的 PHP 版本仍然很常見(jiàn)。7.2 和 5.3 之間存在顯著差異，如果不對(duì)代碼進(jìn)行重大修改，就不可能升級(jí)到受支持的版本。

幸運(yùn)的是，通過(guò)這個(gè) PHP 版本的特定示例，CloudLinux 為您提供了一個(gè)cPanel 服務(wù)器。CloudLinux 提供舊 PHP 版本的強(qiáng)化版本以及安全更新，遠(yuǎn)遠(yuǎn)超過(guò) EOL 日期。然而，這個(gè)問(wèn)題可能發(fā)生在任何軟件上，而且大多數(shù)軟件都沒(méi)有像 CloudLinux 這樣簡(jiǎn)單的解決方案。

運(yùn)行過(guò)時(shí)的操作系統(tǒng)也不是好習(xí)慣。例如，CentOS 5 已經(jīng) EOL 一段時(shí)間了，但它并不是一個(gè)非常罕見(jiàn)的景象。如果你碰巧在運(yùn)行這樣的東西，你應(yīng)該盡快規(guī)劃你的升級(jí)路徑。當(dāng)您運(yùn)行的操作系統(tǒng)進(jìn)入 EOL 時(shí)，通常即使您服務(wù)器上受支持的軟件也將停止接收更新，因?yàn)楣?yīng)商不會(huì)在 EOL 操作系統(tǒng)版本上限定新版本。這會(huì)對(duì)服務(wù)器的安全性產(chǎn)生級(jí)聯(lián)的負(fù)面影響。

代碼和自定義應(yīng)用程序

不幸的是，即使是最堅(jiān)固的服務(wù)器仍然容易受到不安全代碼或網(wǎng)站上運(yùn)行的應(yīng)用程序的攻擊。

如果您正在運(yùn)行可自定義的 Web 應(yīng)用程序，例如 WordPress、Joomla 或 Magento，那么不僅要讓核心應(yīng)用程序保持最新，還要讓任何插件或主題保持最新?tīng)顟B(tài)，這一點(diǎn)至關(guān)重要。這也適用于項(xiàng)目本身的代碼——如果你懷疑你的主題或插件已經(jīng)“死”并且不再更新，那么尋找替代品是明智的。不斷發(fā)現(xiàn)新的漏洞，應(yīng)用程序或插件僅與上次更新一樣安全。

在處理開(kāi)發(fā)人員為您創(chuàng)建的自定義代碼時(shí)，明智的做法是與您的開(kāi)發(fā)人員保持持續(xù)的關(guān)系，以便您可以繼續(xù)接收更新。否則，您可能會(huì)遇到上述情況，您會(huì)發(fā)現(xiàn)您無(wú)法再更新您的 PHP 或其他重要軟件，因?yàn)樵摼W(wǎng)站與新版本不兼容。

這種攻擊向量可能是最難防御的，因?yàn)槟臄?shù)據(jù)中心或托管服務(wù)提供商通常不支持在您的服務(wù)器上運(yùn)行的自定義軟件和代碼。除非您運(yùn)行的是完全現(xiàn)成的軟件，否則請(qǐng)確保您有計(jì)劃更新和修補(bǔ)代碼。

如您所見(jiàn)，保護(hù)服務(wù)器遠(yuǎn)遠(yuǎn)超出了初始設(shè)置。雖然這很重要，但同樣重要的是保持最新?tīng)顟B(tài)，以對(duì)抗不斷增長(zhǎng)的已知黑客和漏洞利用列表。受損系統(tǒng)造成的經(jīng)濟(jì)損失和聲譽(yù)損失可能是巨大的。正如那句古老的格言所說(shuō)，一盎司的預(yù)防勝于一磅的治療。