在線(xiàn)業(yè)務(wù)的趨勢與日俱增，方便用戶(hù)通過(guò)在線(xiàn)支付無(wú)需訪(fǎng)問(wèn)銀行即可在家門(mén)口購買(mǎi)服務(wù)或產(chǎn)品。保護數據是最重要的，因為黑客正在積極嘗試破壞機密和私人信息。在本文中，您將了解服務(wù)器配置以及保護服務(wù)器機器的不同方法。

在將服務(wù)器投入生產(chǎn)環(huán)境之前，您只需按照這 10 個(gè)步驟安全地設置服務(wù)器。以下細節可能因發(fā)行版而異，但相同的概念可用于任何風(fēng)格的 Linux。一旦您完成了所有這些服務(wù)器配置，這意味著(zhù)您已經(jīng)添加了針對常見(jiàn)攻擊的基本保護。

服務(wù)器配置的快速概述以及如何主動(dòng)配置。

1. 用戶(hù)配置

在服務(wù)器配置中執行任何其他操作之前，更改 root 密碼是您需要做的基本事情。嘗試使用數字、符號、大小寫(xiě)字母組合的復雜密碼。通過(guò)設置密碼策略來(lái)防止黑客攻擊，該策略指定使用本地帳戶(hù)的歷史記錄、鎖定和復雜性要求，并確保您的密碼長(cháng)度至少為 8 個(gè)字符。完全禁用 root 用戶(hù)，并為需要提升權限的用戶(hù)創(chuàng )建其他具有 sudo 訪(fǎng)問(wèn)權限的非特權帳戶(hù)。

2. 網(wǎng)絡(luò )配置

您需要通過(guò)分配 IP 地址和主機名來(lái)啟用可能的網(wǎng)絡(luò )連接。網(wǎng)絡(luò )服務(wù)器必須分配靜態(tài) IP 地址，以便用戶(hù)始終可以在同一地址找到該網(wǎng)絡(luò )資源。如果是 VLAN（虛擬局域網(wǎng)），請考慮基本的事情，包括服務(wù)器網(wǎng)段的隔離程度以及它更適合的位置。如果您不使用 IPV6，則無(wú)需將其打開(kāi)。設置任何主機名、域（如果沒(méi)有則注冊任何域名）和 DNS 服務(wù)器的信息。此外，可以使用多個(gè)DNS 服務(wù)器進(jìn)行冗余，并通過(guò)測試 nslookup 來(lái)檢查解析是否正常工作。

3. 包管理

設置服務(wù)器可能有任何特定目的，因此請確保您已安裝發(fā)行版中未包含的所需軟件包。有不同的最廣泛使用的應用程序包，包括 PHP、NGINX、MongoDB 和其他支持包，例如 pear。請記住，刪除額外的包以縮小服務(wù)器占用空間，因為您不需要保留它們以供進(jìn)一步使用。在不久的將來(lái)，如果您需要獲得他們的特定服務(wù)，那么您只需轉到您的發(fā)行版的包管理解決方案即可輕松地再次安裝它們。

4.更新安裝和配置

現在，您已經(jīng)在服務(wù)器上安裝了所需的軟件包，但請確保所有軟件包都已更新。還必須使內核和默認軟件包保持最新。如果您需要舊版本，則可以使用，但出于安全目的，我建議您使用最新版本。包管理器將提供有關(guān)最新支持版本的信息以及自動(dòng)更新選項。

5.NTP配置

服務(wù)器設置或服務(wù)器配置一旦在所需安全級別的幫助下正確完成，將幫助您以最小的風(fēng)險因素讓您高枕無(wú)憂(yōu)。NTP 服務(wù)器可以是可供所有人使用的內部或外部時(shí)間服務(wù)器。為什么防止時(shí)鐘漂移更重要，因為它可能會(huì )導致很多問(wèn)題，例如身份驗證問(wèn)題，因為在授予訪(fǎng)問(wèn)權限之前測量計算機（服務(wù)器）和身份驗證基礎設施之間的時(shí)間偏差。因此，必須防止時(shí)鐘偏差問(wèn)題才能正常工作。

6. 防火墻和 iptables

在這個(gè)數字世界中，必須實(shí)施所需的安全級別。一旦被黑客入侵，就不可能再次獲得客戶(hù)的信任并再次穩定業(yè)務(wù)。根據分發(fā)類(lèi)型，iptables 可能被鎖定或要求您打開(kāi)所需的內容，但不要將其保留為默認值。根據您的特定需要更改服務(wù)器的配置，并始終使用最小權限原則。只打開(kāi)那些對于不同服務(wù)的工作高度需要和強制的端口。這是使用服務(wù)器后面的專(zhuān)用防火墻并確保您的 iptables/firewall 默認為限制性的好方法。

7. 保護 SSH

它與 Windows 操作系統中使用的命令行界面相同。SSH 是 Linux 發(fā)行版的訪(fǎng)問(wèn)方法，用于執行管理級別的操作。禁用 root 遠程 SSH 的能力，這樣如果在服務(wù)器計算機上啟用了 root，那么它將無(wú)法遠程利用。

此外，如果您有一組固定的用戶(hù)或客戶(hù)端 IP 與您的服務(wù)器連接，您還有另一個(gè)選項來(lái)限制某些 IP 地址。您可以選擇更改您的默認 SSH 端口號，但它并不像您想象的那么安全，因為簡(jiǎn)單的掃描可以顯示您的開(kāi)放端口想要執行任何非法或黑客活動(dòng)。服務(wù)器配置并不像您想象的那么困難，它需要注意細節以獲得最高級別的安全性。您應該實(shí)施基于證書(shū)的身份驗證并禁用密碼身份驗證，以減少 SSH 被利用的機會(huì )。

8. 守護程序配置

現在，您已經(jīng)配置了服務(wù)器，但還需要實(shí)施一些事情以提高安全性。設置正確的應用程序以在重新啟動(dòng)時(shí)自動(dòng)啟動(dòng)并關(guān)閉不使用的守護程序。這是一種減少活動(dòng)足跡的主動(dòng)方法，以便只有應用程序所需的表面區域可用于攻擊。完成此任務(wù)后，盡量加固其他剩余服務(wù)，享受最高級別的安全性和彈性。

9. SELinux 和進(jìn)一步強化

SELinux（Security-Enhanced Linux）是一種內核強化工具或安全架構，用于保護服務(wù)器機器免受不同操作的影響，并允許管理員更好地控制誰(shuí)可以訪(fǎng)問(wèn)。換句話(huà)說(shuō)，SELinux 是為了確保 SELinux 是否啟用，您可以運行 sestatus。如果您收到一條提示您受到 SELinux 保護的消息的狀態(tài)。如果您收到許可消息，則表示 SELinux 已啟用，但并未保護您，“禁用”表示您已完全禁用。

基于 Linux 的發(fā)行版上的 MAC（強制訪(fǎng)問(wèn)控制）。它是一個(gè)很好的工具，用于保護對系統資源的未經(jīng)授權的訪(fǎng)問(wèn)。建議在啟用 SELinux 的幫助下測試您的配置，以便您可以確保在日志的幫助下沒(méi)有阻止任何合法的東西。您還可以檢查強化其他應用程序（如 MySQL、Apache 等）的不同方法。

10. 記錄

在最后階段，確保您所需的日志記錄級別已啟用或未啟用，并且您有足夠的資源。如果你已經(jīng)建立了一個(gè)日志結構，那么在短時(shí)間內解決問(wèn)題對你來(lái)說(shuō)會(huì )更有用?，F在，對服務(wù)器進(jìn)行故障排除以獲取更多信息或轉到具有可配置日志結構的軟件以了解數據不足和信息過(guò)多之間的平衡。此外，還有第三方工具可幫助您從聚合到可視化，但必須了解每個(gè)環(huán)境的需求。然后，您可以選擇正確的工具或工具集來(lái)正確填充它們。

最后的話(huà)

最重要的是，如果您的服務(wù)器是攻擊的目標，則未能采取這些服務(wù)器配置步驟可能會(huì )更加危險。如果您遵循所有這些步驟，這并不能保證安全，但它確實(shí)使惡意行為者的過(guò)程變得困難或耗時(shí)，并且需要更高水平的技能來(lái)克服。數據泄露發(fā)生，因此您可以了解所有防止數據泄露的事情，并且不會(huì )留下任何漏洞為黑客提供機會(huì )。