惡意行為者總是在尋找服務(wù)器漏洞。系統管理員和安全員的職責是確保服務(wù)器上的數據安全可靠。通過(guò)實(shí)施我們的服務(wù)器安全提示和最佳實(shí)踐，最大限度地降低風(fēng)險并提高您維護的系統的安全性。

什么是服務(wù)器安全？

服務(wù)器安全是一組保護服務(wù)器免受所有類(lèi)型威脅的措施，例如DDoS 攻擊、暴力攻擊以及粗心或惡意用戶(hù)。這些措施可以包括安裝和維護防火墻、強制執行強密碼和用戶(hù)身份驗證協(xié)議、安裝防病毒軟件以及進(jìn)行定期備份以避免數據丟失。

為什么服務(wù)器安全很重要？

服務(wù)器在業(yè)務(wù)敏感數據處理和存儲中起著(zhù)關(guān)鍵作用。使用服務(wù)器安全措施保護服務(wù)器免受外部威脅對于維護以下內容至關(guān)重要：

• 正直——服務(wù)器安全性通過(guò)防止篡改和意外修改來(lái)確保存儲在服務(wù)器上的數據的準確性和完整性。
• 可用性——安全措施幫助系統管理員保持服務(wù)器及其服務(wù)始終對授權用戶(hù)可用。
• 機密性——保護存儲在服務(wù)器上的敏感數據可防止未經(jīng)授權的用戶(hù)將數據用于惡意目的。
• 聲譽(yù)——安全漏洞可能導致數據丟失或服務(wù)中斷。這些事件可能會(huì )損害公司的聲譽(yù)并造成經(jīng)濟損失。
• 合規性——大公司受行業(yè)特定法規的約束，這些法規要求其服務(wù)器符合某些安全標準。不符合這些標準通常會(huì )導致監管罰款。

保護服務(wù)器的 21 個(gè)技巧

下面列出了提高服務(wù)器安全性的 21 個(gè)技巧。它包含專(zhuān)門(mén)用于 Internet 連接和用戶(hù)管理的部分，您可以在這些方面最有效地提高系統的整體強度。此外，該列表還介紹了整個(gè)服務(wù)器安全領(lǐng)域的其他最佳實(shí)踐。

安全服務(wù)器連接

1. 建立和使用安全連接

連接到遠程服務(wù)器時(shí)，必須建立安全的通信通道。SSH （安全外殼）協(xié)議是建立受保護連接的最佳方式。不同于以前使用的Telnet不同，SSH 訪(fǎng)問(wèn)對交換中傳輸的所有數據進(jìn)行加密。要使用 SSH 協(xié)議進(jìn)行遠程訪(fǎng)問(wèn)，您必須安裝 SSH 守護程序和 SSH 客戶(hù)端來(lái)發(fā)出命令和管理服務(wù)器。

默認情況下，SSH 使用端口 22。更改默認端口號是減少黑客攻擊您的服務(wù)器機會(huì )的簡(jiǎn)單方法。因此，SSH 的最佳實(shí)踐是使用 1024 和 32,767 之間的隨機端口號。

2. 使用SSH密鑰認證

您可以使用一對 SSH 密鑰來(lái)驗證 SSH 服務(wù)器，而不是密碼，這是傳統登錄的更好替代方法。這些密鑰攜帶的比特數比密碼多得多，目前的計算機無(wú)法輕易破解它們。例如，流行的 RSA 2048 位加密就相當于一個(gè) 617 位密碼。

SSH 密鑰對由公鑰和私鑰組成。公鑰有多個(gè)副本，其中一個(gè)留在服務(wù)器上，其他的則與用戶(hù)共享。擁有公鑰的任何人都具有加密數據的能力，而只有擁有相應私鑰的用戶(hù)才能讀取這些數據。私鑰不得與任何人共享，必須妥善保管。建立連接時(shí)，服務(wù)器會(huì )在允許特權訪(fǎng)問(wèn)之前要求提供用戶(hù)擁有私鑰的證據。

3. 安全文件傳輸協(xié)議

使用安全文件傳輸協(xié)議 (FTPS)有助于將文件傳輸到服務(wù)器或從服務(wù)器傳輸文件，而不會(huì )有惡意行為者破壞或竊取數據的危險。FTPS 使用命令和數據通道來(lái)加密數據文件和身份驗證信息。但是，請務(wù)必記住，FTPS 僅在傳輸過(guò)程中保護文件。一旦他們到達服務(wù)器，數據就不再加密。出于這個(gè)原因，在發(fā)送文件之前加密文件增加了另一層安全性。

4. 安全套接字層證書(shū)

使用安全套接字層 (SSL)保護您的 Web 管理區域和表單，保護通過(guò) Internet 在兩個(gè)系統之間傳遞的信息。SSL 可用于服務(wù)器-客戶(hù)端和服務(wù)器-服務(wù)器通信。

該程序對數據進(jìn)行加密，以便敏感信息（例如姓名、身份證、信用卡號碼和其他個(gè)人信息）不會(huì )在傳輸過(guò)程中被盜。具有SSL 證書(shū)的網(wǎng)站在 URL 中帶有HTTPS ，表明它們是安全的。

證書(shū)不僅加密數據，還用于用戶(hù)身份驗證。因此，通過(guò)管理服務(wù)器的證書(shū)，SSL 有助于建立用戶(hù)權限。管理員可以將服務(wù)器配置為與中央機構和該機構簽署的任何其他證書(shū)進(jìn)行通信。

5. 使用專(zhuān)用網(wǎng)絡(luò )和 VPN

確保安全通信的另一種方法是使用專(zhuān)用和虛擬專(zhuān)用網(wǎng)絡(luò ) (VPN) 以及 OpenVPN 等軟件（請參閱我們在 CentOS 上安裝和配置 OpenVPN 的指南）。與外部世界可以訪(fǎng)問(wèn)并因此容易受到惡意用戶(hù)攻擊的開(kāi)放網(wǎng)絡(luò )不同，專(zhuān)用和虛擬專(zhuān)用網(wǎng)絡(luò )限制對選定用戶(hù)的訪(fǎng)問(wèn)。

私有網(wǎng)絡(luò )使用私有 IP 在同一 IP 范圍內的服務(wù)器之間建立隔離的通信通道。這允許同一網(wǎng)絡(luò )中的多個(gè)服務(wù)器在不暴露于公共空間的情況下交換信息和數據。當您想像通過(guò)專(zhuān)用網(wǎng)絡(luò )在本地連接一樣連接到遠程服務(wù)器時(shí)，請使用 VPN。VPN 支持完全安全和私密的連接，并且可以包含多個(gè)遠程服務(wù)器。對于在同一 VPN 下通信的服務(wù)器，它們必須共享安全和配置數據。

服務(wù)器用戶(hù)管理

6. 監控登錄嘗試

使用入侵防御軟件來(lái)監控登錄嘗試是一種保護您的服務(wù)器免受暴力攻擊的方法。這些自動(dòng)攻擊使用試錯法，嘗試每一種可能的字母和數字組合來(lái)訪(fǎng)問(wèn)系統。入侵防御軟件監督所有日志文件并檢測是否有可疑的登錄嘗試。當嘗試次數超過(guò)設定的標準時(shí)，入侵防御軟件會(huì )在一段時(shí)間內或無(wú)限期地封鎖該 IP 地址。

7. 管理用戶(hù)

每個(gè)服務(wù)器都有一個(gè)可以執行任何命令的根用戶(hù)。由于它具有的訪(fǎng)問(wèn)級別，如果服務(wù)器落入壞人之手，root 可能會(huì )很危險。完全禁用 SSH 的根登錄是一種普遍的做法。

由于 root 用戶(hù)擁有最大的權限，因此黑客將注意力集中在嘗試破解 root 密碼上。當您完全禁用此用戶(hù)時(shí)，您會(huì )使攻擊者處于不利地位并保護服務(wù)器免受潛在威脅。為確保外人不會(huì )濫用 root 權限，請創(chuàng )建一個(gè)受限用戶(hù)帳戶(hù)。此帳戶(hù)沒(méi)有與 root 相同的權限，但可以使用sudo 命令執行管理任務(wù)。因此，您可以使用有限的用戶(hù)帳戶(hù)管理大多數任務(wù)，并且僅在必要時(shí)才使用 root 帳戶(hù)。

服務(wù)器密碼安全

8. 建立密碼要求

首先是設置所有服務(wù)器用戶(hù)必須遵守的密碼要求和規則。請遵循以下基本規則：

• 不允許空密碼或默認密碼。
• 強制執行最小密碼長(cháng)度和復雜性。
• 有鎖定政策。
• 不要使用可逆加密存儲密碼。
• 為不活動(dòng)強制會(huì )話(huà)超時(shí)并啟用雙因素身份驗證。

9. 設置密碼過(guò)期策略

設置密碼的到期日期是建立用戶(hù)需求時(shí)的另一種常規做法。根據所需的安全級別，密碼可能會(huì )持續數周或數月。

10. 使用密碼作為服務(wù)器密碼

使用密碼而不是密碼可以幫助提高服務(wù)器安全性。主要區別在于密碼短語(yǔ)更長(cháng)并且單詞之間包含空格。因此，它通常是一個(gè)句子，但不一定是一個(gè)。例如，密碼密碼可能是：Ilove!EatingPizzaAt1676MainSt。給定的示例比通常的密碼更長(cháng)，并且包含大寫(xiě)和小寫(xiě)字母、數字和唯一字符。此外，記住密碼比記住一串隨機字母要容易得多。最后，由于它由 49 個(gè)字符組成，因此更難破解。

11. 密碼禁忌

如果您想維護一個(gè)安全的服務(wù)器，那么在密碼方面您需要避免一些事情。請注意存儲密碼的位置。不要把它們寫(xiě)在紙上，放在辦公室里。

建議不要使用個(gè)人信息，例如您的生日、家鄉、寵物名稱(chēng)和其他可以將您與密碼聯(lián)系起來(lái)的東西。這些非常容易猜到，尤其是認識你的人。僅包含簡(jiǎn)單字典單詞的密碼也很容易破解，尤其是通過(guò)字典（暴力）攻擊。此外，盡量避免在同一密碼中重復字符序列。

最后，不要對多個(gè)帳戶(hù)使用相同的密碼。通過(guò)回收密碼，您將自己置于重大風(fēng)險之中。如果黑客設法獲得對單個(gè)帳戶(hù)的訪(fǎng)問(wèn)權限，則使用相同密碼的所有其他帳戶(hù)都可能處于危險之中。嘗試為每個(gè)帳戶(hù)使用不同的密碼，并使用KeePass 等密碼管理器跟蹤它們。

保護服務(wù)器的其他最佳實(shí)踐

12. 定期更新和升級軟件

定期更新服務(wù)器上的軟件對于保護服務(wù)器免受黑客攻擊至關(guān)重要。過(guò)時(shí)的軟件已經(jīng)針對其弱點(diǎn)進(jìn)行了探索，這讓黑客可以利用并破壞您的系統。

自動(dòng)更新是保證您不會(huì )跳過(guò)重要更新的一種方式。但是，允許系統進(jìn)行自動(dòng)更改可能會(huì )有風(fēng)險。在更新生產(chǎn)環(huán)境之前，最好檢查更新在測試環(huán)境中的執行情況。確保定期更新服務(wù)器控制面板。您還需要定期更新您的內容管理系統（如果您使用它），以及它可能擁有的任何插件。每個(gè)新版本都包含用于修復已知安全問(wèn)題的安全補丁。

13. 刪除或關(guān)閉所有不必要的服務(wù)

通過(guò)減少所謂的攻擊媒介來(lái)提高服務(wù)器安全性。這個(gè)網(wǎng)絡(luò )安全術(shù)語(yǔ)指的是僅安裝和維護保持服務(wù)運行所需的最低要求。僅啟用服務(wù)器操作系統和已安裝組件使用的網(wǎng)絡(luò )端口。系統上的內容越少越好。Windows 操作系統服務(wù)器應僅具有必需的操作系統組件。Linux 操作系統服務(wù)器應進(jìn)行最小化安裝，僅安裝必要的軟件包。

由于大多數 Linux 發(fā)行版都會(huì )偵聽(tīng) Internet 上的傳入連接，因此請將防火墻配置為僅允許特定端口并拒絕所有其他不必要的通信。在您的系統上安裝軟件之前檢查依賴(lài)項，以確保您沒(méi)有添加任何您不需要的東西。此外，檢查哪些依賴(lài)項在系統上自動(dòng)啟動(dòng)，以及您是否需要它們。

14. 隱藏服務(wù)器信息

旨在提供盡可能少的有關(guān)底層基礎設施的信息。對您的服務(wù)器了解得越少越好。此外，最好隱藏服務(wù)器上安裝的任何軟件的版本號。版本指示器通常會(huì )顯示確切的發(fā)布日期，這有助于黑客尋找弱點(diǎn)。

15. 使用入侵檢測系統

要檢測未經(jīng)授權的活動(dòng)，請使用入侵檢測系統 (IDS)，例如 Sophos，它會(huì )監控在您的服務(wù)器上運行的進(jìn)程。您可以將其設置為檢查日常操作、運行自動(dòng)定期掃描或決定手動(dòng)運行 IDS。

16. 檔案審核

文件審計是另一種發(fā)現系統上不需要的更改的有效方法。此方法記錄系統處于健康狀態(tài)時(shí)的所有特征，并將其與當前狀態(tài)進(jìn)行比較。通過(guò)將同一系統的兩個(gè)版本并排比較，您可以檢測到所有不一致之處并追蹤它們的來(lái)源。

17. 服務(wù)審計

服務(wù)審計探索服務(wù)器上運行的服務(wù)、它們的協(xié)議以及它們通信所用的端口。了解這些細節有助于為系統中的攻擊面配置有效的保護。

18. 設置和維護防火墻

通過(guò)控制和限制對系統的訪(fǎng)問(wèn)來(lái)保護您的服務(wù)器。使用 CSF（ConfigServer 和Firewall）對于加強服務(wù)器的安全性至關(guān)重要。它只允許特定的重要連接并鎖定對其他服務(wù)的訪(fǎng)問(wèn)。在初始服務(wù)器設置期間或更改服務(wù)器服務(wù)時(shí)設置防火墻。默認情況下，典型的服務(wù)器運行多個(gè)公共、私有和內部服務(wù)。

• 公共服務(wù)通常在需要允許訪(fǎng)問(wèn)網(wǎng)站的 Web 服務(wù)器上運行。任何人都可以通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)這些服務(wù)。
• 例如，在處理數據庫控制面板時(shí)使用私有服務(wù)。在這種情況下，許多選定的用戶(hù)可以訪(fǎng)問(wèn)同一點(diǎn)。他們擁有在服務(wù)器上具有特殊權限的授權帳戶(hù)。
• 內部服務(wù)永遠不應暴露于互聯(lián)網(wǎng)或外部世界。它們只能從服務(wù)器內部訪(fǎng)問(wèn)并且只接受本地連接。

防火墻的作用是根據用戶(hù)被授權的服務(wù)來(lái)允許、限制和過(guò)濾訪(fǎng)問(wèn)。配置防火墻以限制所有服務(wù)，但服務(wù)器必須提供的服務(wù)除外。

19. 備份你的服務(wù)器

盡管前面提到的步驟旨在保護您的服務(wù)器數據，但備份系統以防萬(wàn)一出現問(wèn)題至關(guān)重要。將關(guān)鍵數據的加密備份存儲在異地或使用云數據備份和恢復解決方案。無(wú)論您有自動(dòng)備份作業(yè)還是手動(dòng)執行備份作業(yè)，請確保將此預防措施作為例行程序。此外，您應該執行全面的備份測試。這包括“健全性檢查”，管理員或最終用戶(hù)在其中驗證數據恢復是否一致。

20. 創(chuàng )建多服務(wù)器環(huán)境

隔離是您可以擁有的最好的服務(wù)器保護類(lèi)型之一。完全分離需要擁有不與其他服務(wù)器共享任何資源的專(zhuān)用裸機服務(wù)器。盡管此方法提供了最高的安全性，但它也是最昂貴的。在數據中心隔離執行環(huán)境允許所謂的職責分離 (SoD) 并根據服務(wù)器實(shí)現的功能設置服務(wù)器配置。

將數據庫服務(wù)器和 Web 應用程序服務(wù)器分開(kāi)是一種標準的安全做法。單獨的執行環(huán)境對于無(wú)法承受任何安全漏洞的大型企業(yè)特別有利。獨立的數據庫服務(wù)器保護敏感信息和系統文件免受設法獲得管理帳戶(hù)訪(fǎng)問(wèn)權限的黑客的攻擊。此外，隔離讓系統管理員可以單獨配置 Web 應用程序安全性并最大限度地減少攻擊面。

21. 創(chuàng )建虛擬隔離環(huán)境

如果您負擔不起或不需要與專(zhuān)用服務(wù)器組件完全隔離，您也可以選擇隔離執行環(huán)境。這樣做可以幫助您處理安全問(wèn)題，同時(shí)確保其他數據不會(huì )受到損害。您可以在更易于設置的容器或 VM 虛擬化之間進(jìn)行選擇。UNIX 操作系統中虛擬化環(huán)境的另一個(gè)選擇是創(chuàng )建 chroot 監獄。Chroot 將進(jìn)程從中央操作系統的根目錄中分離出來(lái)，并只允許它訪(fǎng)問(wèn)其目錄樹(shù)中的文件。但是，這不是完全隔離，只能與其他安全措施一起使用。

結論

閱讀本文并遵循安全建議后，您應該對服務(wù)器安全性更有信心。其中許多安全措施應在初始服務(wù)器設置期間實(shí)施，而其他措施應作為持續或定期維護的一部分。如果您的服務(wù)器監控不是自動(dòng)化的，請確保設計并遵循預定的安全檢查。為了及時(shí)了解網(wǎng)絡(luò )安全的最佳實(shí)踐，我們建議您考慮網(wǎng)絡(luò )安全認證，并在許多可用的播客上關(guān)注安全領(lǐng)域的行業(yè)領(lǐng)導者。