保護您的服務(wù)器以防止數據丟失或安全危害非常重要。因為安全對許多人來(lái)說(shuō)是一個(gè)極具挑戰性的主題，所以它常常被忽視。當問(wèn)題出現時(shí)，許多人都沒(méi)有意識到。通過(guò)遵循這些最佳實(shí)踐，您可以顯著(zhù)降低被惡意行為者破壞的風(fēng)險。

服務(wù)器安全最佳實(shí)踐

1.服務(wù)器管理

正確的服務(wù)器管理可確保所有活動(dòng)繼續滿(mǎn)足組織標準并保持服務(wù)器運營(yíng)的最佳性能。這包括聘請合格的系統管理員和實(shí)施物理和內部安全措施。

2. 人身安全

實(shí)施物理安全控制有助于防止未經(jīng)授權的人員物理訪(fǎng)問(wèn)路由器、配線(xiàn)柜和服務(wù)器等組件。通過(guò)物理訪(fǎng)問(wèn)控制 (PAC) 進(jìn)行的受控訪(fǎng)問(wèn)，例如鎖、生物識別身份驗證和徽章等其他設備，在任何組織中都是必不可少的。

傳統門(mén)和鎖是物理訪(fǎng)問(wèn)控制系統的最基本形式，但企業(yè)級物理訪(fǎng)問(wèn)控制系統更進(jìn)一步。訪(fǎng)問(wèn)控制在建筑物的某些區域可能更嚴格，例如具有公共訪(fǎng)問(wèn)區域和限制訪(fǎng)問(wèn)區域的組織。

維護憑證數據庫并刪除任何已停用的用戶(hù)是一種安全最佳做法。此外，添加不同類(lèi)型的 PAC 是一個(gè)很好的公式，可以更安全地控制對企業(yè)中易受攻擊或重要部門(mén)的物理訪(fǎng)問(wèn)。

3.更新軟件和操作系統

保持軟件和操作系統 (OS) 的更新周期是您可以為服務(wù)器采取的最重要的安全預防措施。更新范圍從關(guān)鍵漏洞補丁到小錯誤修復。許多軟件漏洞在公開(kāi)時(shí)都會(huì )被修補，這增加了用戶(hù)安裝更新的緊迫性。

由于服務(wù)器系統往往與軟件環(huán)境有著(zhù)復雜的關(guān)系，因此故障可能會(huì )被忽視。未能及時(shí)更新服務(wù)器上的操作系統和任何其他軟件將不可避免地使其面臨常見(jiàn)漏洞。企業(yè)必須計劃在合理的時(shí)間內執行定期更新和補丁以維護安全。

4. 安全連接

SSH

當需要通過(guò)命令行（終端）訪(fǎng)問(wèn)服務(wù)器時(shí)，請使用安全外殼 (SSH)連接。SSH 為數據傳輸創(chuàng )建安全管道。此連接僅保護通過(guò)終端從計算機發(fā)送到服務(wù)器的信息。

其他需要考慮的是SSH 端口。SSH 默認端口是#22。最佳實(shí)踐建議避免使用此端口并使用 32768 到 61000 的端口范圍以獲得額外的完整性。此更改可防止對連接和主要黑客雷達的自動(dòng)攻擊。

SSH 密鑰

不要使用 SSH 密碼訪(fǎng)問(wèn)服務(wù)器，而是使用SSH 密鑰。他們禁用以 root 用戶(hù)身份訪(fǎng)問(wèn)服務(wù)器所需的 SSH 功能，從而無(wú)需使用 root 密碼。與單獨使用密碼相比，它在連接到服務(wù)器時(shí)提供了額外的安全層。

使用 SSH 密鑰還允許我們創(chuàng )建加密安全密鑰對，將唯一的連接信息本地存儲在您的計算機和服務(wù)器上。由于 SSH 密鑰對以加密方式生成，因此密鑰大小越大，越安全。

代理服務(wù)器是作為附加安全措施的一種選擇，因為它們將任何網(wǎng)絡(luò )用戶(hù)隱藏在代理的 IP 地址和主機防火墻之后。此設置使黑客更難以針對特定設備進(jìn)行訪(fǎng)問(wèn)。

多重身份驗證 (MFA)

SSH 密鑰主要是一種單因素身份驗證方法。雙重或多重身份驗證將要求用戶(hù)提供不同類(lèi)型的信息（電話(huà)號碼、電子郵件、政府 ID）以訪(fǎng)問(wèn)敏感數據。

虛擬專(zhuān)用網(wǎng)絡(luò )

虛擬專(zhuān)用網(wǎng)絡(luò ) (VPN)是從遠程位置到本地專(zhuān)用網(wǎng)絡(luò )的專(zhuān)用連接。它確保私人數據保持安全并維護該信息的機密性和完整性。VPN 為在線(xiàn)通信和瀏覽提供隱私和保護，使您的設備和 Internet 之間的連接保密。

Fail2Ban

Fail2ban是一種服務(wù)器軟件，它通過(guò)懲罰或阻止嘗試暴力訪(fǎng)問(wèn)的遠程連接來(lái)防止入侵者。它允許您監控攻擊的影響和頻率，并發(fā)布防火墻規則更新以在指定時(shí)間內阻止可疑 IP 地址。Fail2Ban 可以監控多種協(xié)議，包括 HTTP、SSH 和 SMTP。默認情況下，Fail2Ban 僅監控 SSH，但對任何服務(wù)器來(lái)說(shuō)都是一種有用的安全威懾。

SSL/TLS

另一個(gè)有效的保護措施是服務(wù)器安全證書(shū)，例如安全套接字層 (SSL) 和傳輸層安全 (TLS)。這些安全證書(shū)是用于身份驗證和加密的加密協(xié)議，其中 TLS 是 SSL 的更新版本。TLS 修復了舊 SSL 協(xié)議中的一些安全漏洞，這些證書(shū)是用戶(hù)身份驗證所必需的。

服務(wù)器安全證書(shū)通過(guò)對通過(guò) Internet 發(fā)送的敏感數據（例如密碼、用戶(hù)名和信用卡信息）進(jìn)行加擾來(lái)保護網(wǎng)絡(luò )通信，從而允許服務(wù)器驗證實(shí)體。

限制根訪(fǎng)問(wèn)

SSH 應該僅限于有限的用戶(hù)子集。為此，請將以下信息添加到/etc/ssh/sshd_config文件。

PermitRootLogin no
Protocol 2

然后，將 SSH 用戶(hù)組添加到/etc/ssh/sshd_config文件。

AllowGroups sshusers

5.禁用不必要的服務(wù)

審計服務(wù)

服務(wù)審計探索服務(wù)器上正在運行的服務(wù)、它們使用的協(xié)議以及它們交互的端口。意識到這些因素將有助于減少系統中的任何攻擊向量。

大多數服務(wù)器都默認啟用某些服務(wù)，允許您使用服務(wù)器上可用的多種功能。如果不使用這些額外的服務(wù)，最好禁用它們。在基于 Red Hat 的系統上運行特定命令可幫助您查找和禁用不必要的服務(wù)。

支持 Red Hat/CentOS 的服務(wù)

要查看 Red Hat 或 CentOS 中啟用的服務(wù)，請運行以下命令。

systemctl list-unit-files | grep enabled

這是輸出。

[root@host ~]# systemctl list-unit-files | grep enabled
var-lib-snapd-snap-core-7917.mount            enabled 
var-lib-snapd-snap-hello\x2dworld-29.mount    enabled 
var-lib-snapd-snap-snapcraft-3440.mount       enabled 
acpid.service                                 enabled 
auditd.service                                enabled 
autovt@.service                               enabled 
crond.service                                 enabled 
dbus-org.fedoraproject.FirewallD1.service     enabled 
firewalld.service                             enabled 
getty@.service                                enabled 
irqbalance.service                            enabled 
microcode.service                             enabled 
NetworkManager-wait-online.service            enabled 
postfix.service                               enabled 
qemu-guest-agent.service                      enabled 
rhel-autorelabel.service                      enabled 
rhel-configure.service                        enabled 
rhel-dmesg.service                            enabled 
rhel-domainname.service                       enabled 
rhel-import-state.service                     enabled 
rhel-loadmodules.service                      enabled 
rhel-readonly.service                         enabled 
rsyslog.service                               enabled 
sonarpush.service                             enabled 
sshd.service                                  enabled 
systemd-readahead-collect.service             enabled 
systemd-readahead-drop.service                enabled 
systemd-readahead-replay.service              enabled 
tuned.service                                 enabled 
snapd.socket                                  enabled 
default.target                                enabled 
multi-user.target                             enabled 
remote-fs.target                              enabled 
runlevel2.target                              enabled 
runlevel3.target                              enabled 
runlevel4.target                              enabled 
[root@host ~]#

以下命令顯示正在運行的服務(wù)。

systemctl | grep running

輸出如下。

[root@host ~]# systemctl | grep running
session-2969.scope                  loaded active running   Session 2969 of user root
acpid.service                       loaded active running   ACPI Event Daemon
auditd.service                      loaded active running   Security Auditing Service
crond.service                       loaded active running   Command Scheduler
dbus.service                        loaded active running   D-Bus System Message Bus
firewalld.service                   loaded active running   firewalld - dynamic firewall daemon
getty@tty1.service                  loaded active running   Getty on tty1
irqbalance.service                  loaded active running   irqbalance daemon
polkit.service                      loaded active running   Authorization Manager
postfix.service                     loaded active running   Postfix Mail Transport Agent
rsyslog.service                     loaded active running   System Logging Service
serial-getty@ttyS0.service          loaded active running   Storm management console on Serial Getty ttyS0
snapd.service                       loaded active running   Snappy daemon
sonarpush.service                   loaded active running   LiquidWeb Sonarpush Monitoring Agent
sshd.service                        loaded active running   OpenSSH server daemon
systemd-journald.service            loaded active running   Journal Service
systemd-logind.service              loaded active running   Login Service
systemd-udevd.service               loaded active running   udev Kernel Device Manager
tuned.service                       loaded active running   Dynamic System Tuning Daemon
dbus.socket                         loaded active running   D-Bus System Message Bus Socket
snapd.socket                        loaded active running   Socket activation for snappy daemon
systemd-journald.socket             loaded active running   Journal Socket
systemd-udevd-control.socket        loaded active running   udev Control Socket
systemd-udevd-kernel.socket         loaded active running   udev Kernel Socket
[root@host ~]#

要禁用服務(wù)，例如藍牙，請使用此命令。

systemctl disable bluetooth

Debian/Ubuntu 運行服務(wù)

以下命令向您顯示在基于 Debian 或 Ubuntu 的服務(wù)器上運行的服務(wù)。

service --status-all |grep '+'

這是輸出。

root@host ~# service --status-all |grep '+'
 [ + ]  apache-htcacheclean
 [ + ]  apache2
 [ + ]  apparmor
 [ + ]  apport
 [ + ]  atd
 [ + ]  binfmt-support
 [ + ]  cron
 [ + ]  dbus
 [ + ]  ebtables
 [ + ]  grub-common
 [ + ]  irqbalance
 [ + ]  iscsid
 [ + ]  lvm2-lvmetad
 [ + ]  lvm2-lvmpolld
 [ + ]  lxcfs
 [ + ]  procps
 [ + ]  rsyslog
 [ + ]  ssh
 [ + ]  udev
 [ + ]  ufw
 [ + ]  unattended-upgrades
root@host ~#

此命令列出由systemV管理的服務(wù)的狀態(tài)。加號 (+) 和減號 (-) 表示服務(wù)是否處于活動(dòng)狀態(tài)。

systemctl | grep running

下面顯示了輸出。

root@host ~# systemctl | grep running
  proc-sys-fs-binfmt_misc.automount        loaded active running   Arbitrary Executable File Formats File System Automount Point
  init.scope                               loaded active running   System and Service Manager
  session-1726.scope                       loaded active running   Session 1726 of user root
  accounts-daemon.service                  loaded active running   Accounts Service
  apache2.service                          loaded active running   The Apache HTTP Server
  atd.service                              loaded active running   Deferred execution scheduler
  cron.service                             loaded active running   Regular background program processing daemon
  dbus.service                             loaded active running   D-Bus System Message Bus
  getty@tty1.service                       loaded active running   Getty on tty1
  irqbalance.service                       loaded active running   irqbalance daemon
  lvm2-lvmetad.service                     loaded active running   LVM2 metadata daemon
  lxcfs.service                            loaded active running   FUSE filesystem for LXC
  networkd-dispatcher.service              loaded active running   Dispatcher daemon for systemd-networkd
  polkit.service                           loaded active running   Authorization Manager
  rsyslog.service                          loaded active running   System Logging Service
  serial-getty@ttyS0.service               loaded active running   Storm management console on Serial Getty ttyS0
  snapd.service                            loaded active running   Snappy daemon
  ssh.service                              loaded active running   OpenBSD Secure Shell server
  systemd-journald.service                 loaded active running   Journal Service
  systemd-logind.service                   loaded active running   Login Service
  systemd-networkd.service                 loaded active running   Network Service
  systemd-resolved.service                 loaded active running   Network Name Resolution
  systemd-timesyncd.service                loaded active running   Network Time Synchronization
  systemd-udevd.service                    loaded active running   udev Kernel Device Manager
  unattended-upgrades.service              loaded active running   Unattended Upgrades Shutdown
  user@0.service                           loaded active running   User Manager for UID 0
  dbus.socket                              loaded active running   D-Bus System Message Bus Socket
  lvm2-lvmetad.socket                      loaded active running   LVM2 metadata daemon socket
  snapd.socket                             loaded active running   Socket activation for snappy daemon
  syslog.socket                            loaded active running   Syslog Socket
  systemd-journald-audit.socket            loaded active running   Journal Audit Socket
  systemd-journald-dev-log.socket          loaded active running   Journal Socket (/dev/log)
  systemd-journald.socket                  loaded active running   Journal Socket
  systemd-udevd-control.socket             loaded active running   udev Control Socket
  systemd-udevd-kernel.socket              loaded active running   udev Kernel Socket
root@host ~#

要禁用服務(wù)，請使用以下命令。

systemctl disable apache

從系統中刪除 X Windows。

X 窗口系統（也稱(chēng)為 X11，或簡(jiǎn)稱(chēng)為 X）是一種用于位圖顯示的窗口系統，是類(lèi) Unix 操作系統的標準配置。它為窗口圖形用戶(hù)界面 (GUI) 環(huán)境提供了一個(gè)基本框架。CentOS、Red Hat Enterprise Linux (RHEL) 和 Fedora Linux 中包含的 X Windows 系統稱(chēng)為 X.org。

大多數服務(wù)器不需要 GUI 來(lái)執行一般服務(wù)器管理任務(wù)，而其他服務(wù)器則使用管理面板。了解服務(wù)器有多少開(kāi)放路徑并僅啟用您需要的路徑會(huì )很有幫助。如果已安裝 X Windows 而您的服務(wù)器不需要它，最好將其刪除。

使用此命令刪除 X Windows 系統。

yum groupremove "X Window System"

6. 保留備份

丟失關(guān)鍵信息對任何企業(yè)來(lái)說(shuō)都是災難性的。幸運的是，有許多可靠的備份解決方案可用，包括可以同時(shí)支持物理和虛擬服務(wù)器的服務(wù)器備份軟件。

Liquid Web 提供多種備份選項。一些工具允許您快速執行和自動(dòng)化備份和恢復率，并輕松監控備份配置文件以避免數據丟失。制定備份計劃時(shí)，最佳做法是使用備份保留的 3-2-1 規則。

3-2-1 規則

三：創(chuàng )建數據的三個(gè)副本。這些副本應包括一份主副本和兩份備份。

二：將數據副本存儲在至少兩種不同類(lèi)型的存儲介質(zhì)上。您可以將一份副本存儲在本地硬盤(pán)驅動(dòng)器上，將另一份副本存儲在外部驅動(dòng)器、網(wǎng)絡(luò )附加存儲 (NAS) 或本地保存的存儲服務(wù)器上。

一：異地存儲一份數據副本。此選項可以是位于其他位置的存儲服務(wù)器，也可以是托管提供商提供的云存儲解決方案。

7.用戶(hù)管理

監控登錄嘗試

主機入侵檢測系統 (HIDS) 是一種監視設備和網(wǎng)絡(luò )是否存在可疑活動(dòng)的應用程序。它檢查內核日志中訪(fǎng)問(wèn)的文件、使用的應用程序和數據。網(wǎng)絡(luò )入侵檢測系統 (NIDS) 是一種監控網(wǎng)絡(luò )流量是否存在可疑活動(dòng)的應用程序。它評估網(wǎng)絡(luò )內設備之間的數據流。HIDS 用于更全面的解決方案，NDIS 用于基于局域網(wǎng) (LAN) 的解決方案。

這是 HIDS 的列表：

• 奧賽克
• Wazuh（OSSEC 的一個(gè)分支，提供更高的可靠性和可擴展性）
• 絆線(xiàn)
• 薩溫
• 安全洋蔥

NIDS 和 HIDS 可以結合使用，形成一個(gè)堅實(shí)而全面的入侵檢測系統策略。一些建議包括：

• 打鼾
• 最小值
• 澤克
• OpenWIPS-ng
• 學(xué)校b

限制用戶(hù)權限

為確保只有需要的用戶(hù)才能訪(fǎng)問(wèn)關(guān)鍵系統，請將他們擁有的權限集限制為 644 或 444（文件）和 755（文件夾）。

執行用戶(hù)測試

設置一個(gè)特定的日期來(lái)執行安全審計，并在它到來(lái)之前通知用戶(hù)。定義您的期望，并讓他們對任何發(fā)現的缺陷負責。

持續的安全培訓

發(fā)送每月提醒并每三個(gè)月進(jìn)行一次培訓，在多個(gè)領(lǐng)域（電子郵件、網(wǎng)絡(luò )和物理）進(jìn)行為期六個(gè)月的試運行，并跟蹤失敗以改進(jìn)這些領(lǐng)域并增加額外的培訓。

旅行安全

安全不僅僅止于您企業(yè)的前門(mén)。為出差的員工設置安全參數培訓在當今世界是一個(gè)明智的選擇，在許多公司完全遠程或為某些部門(mén)安排遠程周的情況下更是如此。

8. 使用 SELinux

SELinux 是一個(gè)基于內核的安全模塊，它提供了一種機制來(lái)支持訪(fǎng)問(wèn)控制安全策略，包括強制訪(fǎng)問(wèn)控制 (MAC)。它主要用作調整訪(fǎng)問(wèn)控制要求的手段。

使用 SELinux，您可以指定進(jìn)程或用戶(hù)可以做什么。它可以將操作限制在其域內，因此操作只能從允許的域與特定文件類(lèi)型或其他進(jìn)程進(jìn)行交互。

SELinux 可以存在于以下三種可能模式中的任何一種：

• 執行 - SELinux 主動(dòng)執行定義的策略。
• 許可 - 主要用于測試。未應用執行但已記錄。
• 禁用 - 系統處于非活動(dòng)狀態(tài)。

9. 意識和教育

如果您不知道要尋找什么或不知道要問(wèn)什么問(wèn)題，那么重要的事情就會(huì )被忽視。雖然您無(wú)需成為安全專(zhuān)家也能受到保護，但您必須意識到試圖損害您的業(yè)務(wù)的危險。

一個(gè)常見(jiàn)的誤解是完全托管的服務(wù)器產(chǎn)品是您需要的所有安全性。但是，托管服務(wù)提供商會(huì )與您和您的團隊合作以確保您的環(huán)境安全。托管提供商確保硬件、網(wǎng)絡(luò )和設施的安全，但您的數據是您的責任。您和您的團隊必須就常見(jiàn)的安全問(wèn)題以及如何保護您的網(wǎng)站和應用程序免受這些問(wèn)題進(jìn)行自我教育。

10. 保護文件系統

有幾個(gè)步驟可以保護服務(wù)器文件系統。對于初學(xué)者，始終將具有用戶(hù)可寫(xiě)目錄的文件系統掛載在單獨的分區上。此外，使用您選擇的文本編輯器在/etc/fstab文件中使用nosuid、nodev和noexec 。

以下是一些需要注意的附加設置：

將/boot設置為只讀

確保/boot文件夾默認設置為 RW 模式，盡管僅用于讀取或加載模塊和內核。使用以下命令來(lái)完成此操作。

/dev/sda1 /boot ext2 defaults ro 1 2

另外，在/etc/fstab文件中將/boot設置為只讀。

禁用從可移動(dòng)媒體啟動(dòng)

此設置是可選的，具體取決于您的服務(wù)器使用情況。要禁用從可移動(dòng)媒體啟動(dòng)，您需要修改 bios 設置以禁用從可移動(dòng)媒體（如 U 盤(pán)）啟動(dòng)。

設置 GRUB 引導加載程序密碼

如果有人可以物理訪(fǎng)問(wèn)服務(wù)器，他們就可以進(jìn)入它。攻擊者和服務(wù)器訪(fǎng)問(wèn)之間的另一堵墻是在 GRUB 引導加載程序上設置密碼。您可以通過(guò)設置密碼來(lái)限制訪(fǎng)問(wèn)來(lái)實(shí)現此目的。首先，備份當前的grub.conf文件。

root@host ~# cp /etc/grub.conf /etc/grub.conf.bak

接下來(lái)，生成安全密碼。創(chuàng )建一個(gè)文件，然后使用grub-md5-crypt命令創(chuàng )建密碼。然后系統將提示您輸入密碼兩次。然后，將創(chuàng )建的密碼從安全文件復制到grub.conf文件中。

root@host ~# touch secure
root@host ~# grub-md5-crypt > secure

在此之后，復制密碼并將其粘貼到grub.conf文件中第一行之后（在 RedHat 中），如下所示。然后，保存并退出文件。

splashimage=(hd0,0)/grub/splash.xpm.gz 
password --md5 JnK!xdBep53lt1NVk@K6wb!js%!HEI#^

您將需要重新啟動(dòng)服務(wù)器以使更改生效。

進(jìn)入單用戶(hù)模式前提示輸入根密碼

如果惡意行為者可以物理訪(fǎng)問(wèn)服務(wù)器，則他們可以通過(guò)按e鍵從 GRUB 菜單項中選擇要引導到的特定內核。此操作允許某人編輯第一個(gè)引導選項以啟用引導到單用戶(hù)模式而無(wú)需輸入密碼。

您的系統應該配置為在進(jìn)入單用戶(hù)模式之前提示輸入 root 密碼，以限制可能的利用。按照設置 GRUB 引導加載程序密碼部分中概述的說(shuō)明完成此任務(wù)。

最后的想法

安全是一個(gè)共同的問(wèn)題。遵循這些服務(wù)器安全最佳實(shí)踐并與您的托管服務(wù)提供商合作。所有這些都為您的服務(wù)器環(huán)境提供了蓬勃發(fā)展所需的安全性。雖然本文有助于您結束安全交易，但尋找可靠的托管服務(wù)提供商是另一個(gè)挑戰。