21个服务器安全提示,以保护服务器安全

2020-03-12 10:07 标签: 服务器安全提示

黑客总是在寻找服务器漏洞。确保数据安全是您的责任。

通过实施我们的服务器安全提示和最佳做法,将风险降至最低,并有信心确保数据在安全服务器上的安全。

1.建立和使用安全连接

连接到远程服务器时,必须建立安全的通信通道。

使用SSH(安全外壳)协议是建立受保护连接的最佳方法。与以前使用的Telnet不同,SSH访问对交换中传输的所有数据进行加密。

您需要安装SSH守护程序,并具有SSH客户端,可以使用该SSHClient发出命令并管理服务器,以使用SSH协议进行远程访问。

默认情况下,SSH使用端口22。包括黑客在内的每个人都知道这一点。大多数人不会配置这个看似无关紧要的细节。但是,更改端口号是减少黑客攻击服务器的机会的简便方法。因此,SSH的最佳实践是使用1024到32,767之间的端口号。

2.使用SSH密钥身份验证

您可以使用一对SSH密钥而不是密码来认证SSH服务器,这是传统登录的一种更好的替代方法。密钥携带的位数比密码多得多,大多数现代计算机都不容易破解。流行的RSA2048位加密等效于617位密码。

密钥对由公共密钥和私有密钥组成。

公钥有多个副本,其中一个副本保留在服务器上,而其他副本则与用户共享。拥有公钥的任何人都有权对数据进行加密,而只有具有相应私钥的用户才能读取此数据。私钥不与任何人共享,必须保持安全。建立连接时,服务器会在允许特权访问之前询问用户具有私钥的证据。

3.安全文件传输协议

为了在服务器之间来回传输文件而没有黑客入侵或窃取数据的危险,使用文件传输协议安全(FTPS)至关重要。它加密数据文件和您的身份验证信息。

FTPS同时使用命令通道和数据通道,用户可以对两者进行加密。请记住,它仅在传输期间保护文件。一旦它们到达服务器,数据就不再加密。因此,在发送文件之前对其进行加密会增加另一层安全性。

4.安全套接字层证书

使用安全套接字层(SSL)保护Web管理区域和表单,以保护通过Internet在两个系统之间传递的信息。SSL既可以用于服务器-客户端通信,也可以用于服务器-服务器通信。

该程序对数据进行加密,以使敏感信息(例如姓名,ID,信用卡号和其他个人信息)在传输过程中不会被盗。具有SSL证书的网站的URL中带有HTTPS,表明它们是安全的。

证书不仅会加密数据,而且还会用于用户身份验证。因此,通过管理服务器的证书,它有助于建立用户权限。管理员可以将服务器配置为与集中权限和该权限签名的任何其他证书进行通信。

5.使用专用网络和VPN

确保安全通信的另一种方法是使用专用和虚拟专用网络(VPN),以及诸如OpenVPN之类的软件。私有和虚拟私有网络不像外界可以访问的开放网络,因此容易受到恶意用户的攻击,与之不同,它限制了对选定用户的访问。

专用网络使用专用IP在同一范围内的服务器之间建立隔离的通信通道。这样,同一帐户下的多台服务器可以交换信息和数据,而无需暴露在公共场所。

当您要连接到远程服务器时,就像通过专用网络在本地进行连接一样,请使用VPN。它启用了完全安全和专用的连接,并且可以包含多个远程服务器。为了使服务器在同一VPN下进行通信,它们必须共享安全性和配置数据。

服务器用户管理6.监视登录尝试

使用入侵防御软件监视登录尝试是一种保护服务器免受暴力攻击的方法。这些自动攻击使用反复试验的方法,尝试使用字母和数字的所有可能组合来访问系统。

入侵防御软件将监视所有日志文件,并检测是否存在可疑的登录尝试。如果尝试次数超过了设定的标准,则入侵防御软件会在一段时间内甚至无限期地阻止IP地址。

7.管理用户

每个服务器都有一个可以执行任何命令的root用户。由于它的强大功能,如果根目录落入错误的人手中,则根目录对服务器可能会非常危险。完全禁用SSH中的root登录是一种普遍的做法。

由于root用户拥有最大的权力,因此黑客将注意力集中在尝试破解该特定用户的密码上。如果您决定完全禁用该用户,则将使攻击者处于严重不利境地,并使服务器免受潜在威胁。

为确保外部人员不会滥用root特权,您可以创建一个受限用户帐户。该帐户与根帐户没有相同的权限,但是仍然可以使用sudo命令执行管理任务。

因此,您可以将大多数任务作为受限用户帐户进行管理,并仅在必要时使用根帐户。

服务器密码安全8.建立密码要求

首先是设置服务器上所有成员必须遵循的密码要求和规则。

不允许使用空密码或默认密码。强制设置最小密码长度和复杂性。制定锁定政策。不要使用可逆加密来存储密码。强制会话超时以保持不活动状态并启用两因素身份验证。

9.设置密码过期策略

为用户建立要求时,设置密码的到期日期是另一种常规做法。根据所需的安全级别,密码可能会持续几周或几个月。

10.对服务器密码使用密码短语

使用密码而不是密码可以提高服务器安全性的原因有很多。两者之间的主要区别在于密码短语更长,并且单词之间包含空格。因此,它通常是一个句子,但不一定必须是一个。

例如,密码口令可能是:Ilove!ToEatPizzaAt1676MainSt。

给定的示例比通常的密码长,并且包含大小写字母,数字和唯一字符。

此外,记住密码短语比一串随机字母要容易得多。最后,由于它包含49个字符,因此破解起来比较困难。

11.密码不要

如果要维护安全的服务器,则在密码方面要避免一些事情。首先,请注意存储密码的位置。不要将它们写在纸上并将它们藏在办公室周围。

通常建议不要使用个人信息,例如您的生日,家乡,宠物的名字以及其他可以将您(用户)连接到密码的信息。这些都是非常容易猜到的,尤其是对于那些认识您的人。

仅包含简单词典单词的密码也很容易破解,尤其是通过词典(强力)攻击。注意相同的风险,请尝试避免在同一密码中重复字符序列。

最后,请勿对多个帐户使用相同的密码。通过回收密码,您将面临巨大的风险。如果黑客设法访问单个帐户,则其他所有使用相同密码的其他帐户都可能处于危险之中。尝试为每个单独的帐户使用不同的密码,并使用诸如KeePass之类的密码管理器来跟踪它们。

其他确保服务器安全的最佳做法12.定期更新和升级软件

定期更新服务器上的软件是确保其免受黑客攻击的关键步骤。已经针对过时的软件开发了弱点,使黑客可以利用这些弱点并损害您的系统。如果您使所有内容保持最新,请确保在第一道防线中对其进行了更新以保护自己。

自动更新是一种确保不会忘记任何更新的方法。但是,允许系统自行进行此类更改可能会有风险。在更新生产环境之前,最好检查一下更新在测试环境中的执行情况。

确保定期更新服务器控制面板。您还需要定期更新内容管理系统(如果使用的话)以及它可能具有的任何插件。每个新版本均包含安全补丁,以解决已知的安全问题。

13.删除或关闭所有不必要的服务

通过减少所谓的攻击媒介来提高服务器安全性。

此网络安全术语是指仅安装和维护使服务保持运行所需的最低要求。只需启用操作系统和已安装组件所使用的网络端口。系统上的资源越少越好。

WindowsOS服务器应仅具有必需的操作系统组件。Linux操作系统服务器的安装应最少,仅安装真正必要的软件包。

由于大多数Linux发行版都侦听Internet上的传入连接,因此您希望将防火墙配置为仅允许特定端口,并拒绝所有其他不必要的通信。

在系统上安装软件之前,请检查相关性,以确保没有添加不需要的内容。另外,检查哪些依赖项是在系统上自动启动的,以及是否需要它们在那里。

14.隐藏服务器信息

尝试提供尽可能少的有关基础架构的信息。对服务器了解得越少越好。

另外,最好隐藏服务器上已安装的任何软件的版本号。默认情况下,他们通常会透露确切的发布日期,这可以帮助黑客寻找弱点。通常,通过从其问候语的HTTP标头中删除此信息来删除该信息很简单。

15.使用入侵检测系统

要检测任何未经授权的活动,请使用入侵检测系统(IDS)(例如Sophos)来监视服务器上运行的进程。您可以将其设置为检查日常操作,运行定期的自动扫描或决定手动运行IDS。

16.文件审核

文件审核是发现系统上不需要的更改的另一种好方法。

当系统处于良好的“健康”状态时,它会记录系统的所有特征,并将其与当前状态进行比较。通过并排比较同一系统的两个版本,您可以检测到所有不一致之处并跟踪其起源。

17.服务审核

服务审核探索服务器上正在运行的服务,它们的协议以及它们通过哪些端口进行通信。了解这些细节有助于配置系统中的攻击面。

18.设置和维护防火墙

通过控制和限制对系统的访问来保护服务器的安全。

使用CSF(ConfigServer和防火墙)对于加强服务器的安全性至关重要。它仅允许特定的重要连接,从而限制了对其他服务的访问。

在初始服务器设置过程中或在更改服务器提供的服务时设置防火墙。默认情况下,典型的服务器运行不同的服务,包括公共,私有和内部服务。

公共服务通常由需要允许访问网站的Web服务器运行。任何人通常都可以通过Internet匿名访问这些服务。例如,在处理数据库控制面板时使用私有服务。在这种情况下,许多选定人员需要访问同一地点。他们在服务器内部拥有具有特殊特权的授权帐户。内部服务是永远都不应暴露给互联网或外界的服务。它们只能从服务器内部访问,并且仅接受本地连接。

防火墙的作用是根据用户被授权的服务来允许,限制和过滤访问。配置防火墙以限制除服务器必需的服务以外的所有服务。

19.备份服务器

尽管前面提到的步骤是为了保护服务器数据而设计的,但是,在出现问题时备份系统至关重要。

将关键数据的加密备份存储在异地或使用云解决方案。

无论您是自动备份作业还是手动备份作业,请确保执行此预防措施的常规操作。另外,您应该测试备份,并进行全面的备份测试。这应包括“健全性检查”,管理员或什至最终用户可以在其中检查数据恢复是否一致。

20.创建多服务器环境

隔离是您可以拥有的最佳服务器保护类型之一。

完全分离将需要拥有专用的裸机服务器,这些服务器不与其他服务器共享任何组件。尽管这是最容易管理且提供最大安全性的方法,但它也是最昂贵的。

在数据中心中使用隔离的执行环境可以进行所谓的职责分离(SoD),并根据服务器执行的功能设置服务器配置。

分离数据库服务器和Web应用程序服务器是一种标准的安全措施。单独的执行环境对无法承担任何安全漏洞的大型企业特别有利。

独立的数据库服务器可保护来自黑客的敏感信息和系统文件,这些黑客设法获得对管理帐户的访问权限。此外,隔离使系统管理员可以通过设置Web应用程序防火墙来分别配置Web应用程序安全性并最大程度地减少攻击面。

21.创建虚拟隔离环境

如果您负担不起或不需要使用专用服务器组件进行完全隔离,则还可以选择隔离执行环境。

这样做可以帮助您处理可能出现的任何安全问题,确保不损害其他数据。您可以在容器或VM虚拟化之间进行选择,它们更易于设置。

UNIX操作系统中虚拟化环境的另一个选项是创建chroot监狱。Chroot正在将进程与中央操作系统的根目录分开,并允许其仅访问其目录树中的文件。但是,这不是完全隔离,只能与其他安全措施一起使用。

热门文章 最严重的黑客攻击,网络攻击和数据泄露 日本三菱电机称其在华服务器遭黑客攻击 或致泄密 马云的“守护神”,每天拦下20亿次黑客攻击! 防御DDoS攻击的五种方法 5g服务器优势特点详解
行业资讯 Industry Information

关于我们

About Us