服務(wù)器安全描述了用于保護企業(yè)服務(wù)器免受未經(jīng)授權的訪(fǎng)問(wèn)和其他網(wǎng)絡(luò )威脅的軟件、工具和流程。這是大多數系統管理員和網(wǎng)絡(luò )安全團隊的關(guān)鍵要求。 基于操作系統強大的默認權限結構，Linux 的安全性被認為是好的。但是，您仍然必須采用最佳實(shí)踐來(lái)保持服務(wù)器安全有效地運行。無(wú)論您的 Linux 服務(wù)器運行的是 Ubuntu、Debian 還是其他發(fā)行版，請按照以下步驟來(lái)加強您的 Linux 服務(wù)器的默認配置。

1.只安裝需要的包

您應該只安裝您的業(yè)務(wù)需要運行的軟件包，以保護您的服務(wù)器的功能。Linux 服務(wù)器發(fā)行版已經(jīng)安裝了各種常用的軟件包，例如 adduser 和 base-passwd。在安裝過(guò)程中，用戶(hù)可以選擇安裝其他軟件包，包括 Open SSH 服務(wù)器、DNS 服務(wù)器、LAMP 堆棧和打印服務(wù)器。

您還可以通過(guò)默認的包管理系統添加更多包。軟件包可以從官方存儲庫中提取，也可以通過(guò)添加 PPA（個(gè)人軟件包檔案）（由 Linux 用戶(hù)創(chuàng )建的存儲庫）來(lái)訪(fǎng)問(wèn)更廣泛的程序選擇。

但是，您安裝的軟件包越多，尤其是來(lái)自第三方存儲庫的軟件包，您可能會(huì )在系統中引入更多漏洞。將已安裝的軟件包保持在合理的最低限度，并定期消除不需要的軟件包。

2.禁用root登錄

Linux 發(fā)行版包括一個(gè)名為“root”的超級用戶(hù)，其中包含提升的管理權限。啟用 root 登錄可能會(huì )帶來(lái)安全風(fēng)險并降低托管在服務(wù)器上的小型企業(yè)云資源的安全性，因為黑客可以利用此憑據訪(fǎng)問(wèn)服務(wù)器。為了加強您的服務(wù)器安全，您必須禁用此登錄。

禁用 root 帳戶(hù)的過(guò)程取決于您使用的 Linux 發(fā)行版 - 您必須首先創(chuàng )建一個(gè)新用戶(hù)帳戶(hù)并分配提升的 (sudo) 權限，這樣您仍然可以安裝軟件包和執行其他管理操作在服務(wù)器上?；蛘?，您可以將這些權限分配給現有用戶(hù)，以確保安全的服務(wù)器登錄。

3.配置2FA

雙因素身份驗證(2FA) 在用戶(hù)登錄服務(wù)器之前需要密碼和第二個(gè)令牌，從而極大地提高了用戶(hù)訪(fǎng)問(wèn)的安全性。

要在 Debian 服務(wù)器和 Debian 派生發(fā)行版上設置 2FA，您應該安裝 libpam-google-authenticator 軟件包。該軟件包可以顯示二維碼或生成可添加到軟件身份驗證設備（例如 Google Authenticator 或 Authy）的秘密令牌。

2FA 可以與 SSH（安全外殼）結合使用，以在登錄服務(wù)器時(shí)強制要求第二個(gè)憑據。SSH 是一種創(chuàng )建與遠程服務(wù)器的基于文本的加密連接的協(xié)議?？傊?，這些使服務(wù)器更能抵抗暴力破解和未經(jīng)授權的登錄嘗試，并可以提高小型企業(yè)的云安全性。

4. 執行良好的密碼衛生

良好的密碼衛生不僅與登錄其個(gè)人計算機或 SaaS 應用程序的用戶(hù)有關(guān)。對于服務(wù)器，管理員還需要確保用戶(hù)使用足夠嚴格的密碼。這種做法使他們更能抵抗攻擊。

強制執行最小加密強度

您的員工使用的密碼應高于一定的加密強度，例如，至少 12 個(gè)字符，字母、數字和符號的隨機組合。要在您的企業(yè)中強制執行此操作，請考慮實(shí)施一種密碼管理工具，該工具可以驗證密碼的安全級別或生成足夠復雜的密碼。

強制執行定期密碼輪換

確保您的員工定期更新所有應用程序和登錄密碼，尤其是那些具有管理服務(wù)器訪(fǎng)問(wèn)權限的密碼。默認情況下，大多數 Linux 發(fā)行版都包含一個(gè)用于修改密碼到期和老化信息的實(shí)用程序。該程序可以強制用戶(hù)定期重置密碼。Chage 就是這樣一種 CLI（命令行界面）。

管理員可以強制用戶(hù)在一定天數后更改密碼，例如，使用 -W 運算符：

改變 -W 10 丹尼爾

從提升的權限運行，此命令將強制用戶(hù) 'daniel' 在 10 天后更改其密碼。強制密碼更改也可以在洗澡或登錄事件時(shí)強制執行。

5.服務(wù)器端殺毒軟件

雖然 Linux 計算機被認為對病毒、惡意軟件和其他形式的網(wǎng)絡(luò )攻擊具有相對抵抗力，但所有 Linux 端點(diǎn)（包括臺式機）都應該運行防病毒保護。防病毒產(chǎn)品將增強其運行的任何服務(wù)器的防御能力。Avast Business的下一代 Linux 服務(wù)器防病毒軟件支持 32 位和 64 位硬件，并具有通過(guò) CLI 啟動(dòng)的按需掃描功能。

6.定期或自動(dòng)更新

你不應該持有舊的、未打補丁的軟件包，因為它們會(huì )給系統帶來(lái)可能被網(wǎng)絡(luò )犯罪分子利用的嚴重漏洞。為避免此問(wèn)題，請確保您的服務(wù)器或服務(wù)器池定期更新。

許多 Linux 發(fā)行版，尤其是 Ubuntu，也在滾動(dòng)發(fā)行周期中更新，包括長(cháng)期 (LTS) 和短期發(fā)行版本。您的安全團隊應該從一開(kāi)始就考慮他們是否希望在他們的機器上運行最先進(jìn)或穩定的軟件，并配置適當的更新策略。

此外，許多 Linux 發(fā)行版包含用于應用自動(dòng)更新的工具。例如，可用于 Debian 的 unattended-upgrades 軟件包將以固定的時(shí)間間隔輪詢(xún)更新并在后臺自動(dòng)應用它們。

7.啟用防火墻

每臺 Linux 服務(wù)器都應該運行防火墻作為抵御未經(jīng)授權或惡意連接請求的初始防線(xiàn)。UFW（簡(jiǎn)單防火墻）是一種常見(jiàn)的基本 Linux 防火墻。您應該檢查防火墻策略以確保它對您的業(yè)務(wù)操作環(huán)境有意義。

如今，分布式拒絕服務(wù)(DDoS) 攻擊也對一些運營(yíng)商構成威脅。面向 Internet 的 Linux 服務(wù)器可以放置在代理服務(wù)之后，以檢查和清理入站流量，從而提供 DDoS 保護。此外，還有一些可以直接安裝到服務(wù)器上的開(kāi)源腳本。

8. 備份你的服務(wù)器

當涉及到計算機系統時(shí)，總會(huì )有一些事情可能出錯，并且包可能會(huì )產(chǎn)生依賴(lài)性問(wèn)題和其他問(wèn)題。因此，保留將更改回滾到服務(wù)器的能力至關(guān)重要。

一個(gè)強大的備份方法應該包括為每個(gè)主要受保護設備創(chuàng )建兩個(gè)副本，一個(gè)異地副本。更簡(jiǎn)單的系統回滾工具可用于 Linux 服務(wù)器，可以幫助自動(dòng)化此過(guò)程并允許更快的災難恢復 (DR)。

牢記安全

Linux 可能是您的小型企業(yè)或企業(yè)的最佳服務(wù)器，因為發(fā)行版通常具有自動(dòng)配置的良好安全狀態(tài)。但是，為了顯著(zhù)提高防御能力并最大限度地減少惡意用戶(hù)獲得訪(fǎng)問(wèn)權限的機會(huì )，您必須通過(guò)應用最佳實(shí)踐技巧來(lái)強化 Linux 服務(wù)器。使用服務(wù)器端防病毒工具（例如 Avast Business Linux Antivirus）應該始終是多層安全策略的一部分。