網絡攻擊者總是在尋找可以在服務器上利用的漏洞。作為服務器管理員,您有責任確保您已關閉所有可能的漏洞并且您的數據是安全的。您需要通過實施您認為“必要”的正確措施、技巧和實踐來最大程度地降低風險并確信您的數據是安全的。
因此,我們在這里提供了 8 個基本技巧,可幫助您保護Web 服務器上的數據。我們已盡力使我們的技巧盡可能扎實和必要。一旦您閱讀并實施了本文中提到的所有內容,我們將返回另一篇博客,但會提供更高級的技巧。
1. 使用安全連接保護您的服務器
您是否使用開放網絡連接到遠程服務器?你不應該。當嘗試連接到遠程服務器時,您應該在該位置建立安全連接,因為數據包可能會偏離其他地方。這可能會危及您的隱私和安全。
使用安全外殼協議 (SSH) 將幫助您建立安全且受保護的連接,并且與舊的 Telnet 不同,SSH 將加密交換中的所有數據。
如果您想知道我們所說的加密是什么意思,這里有一些值得您花時間的東西 –
想象一下,您向朋友“Alex”發送“hello”。現在,請考慮您的 Messenger 未配置安全連接。然后服務器將您的消息轉換成二進制等價物,并將它們直接發送到接收者的收件箱。
如果有人以某種方式利用了連接,他會很容易地閱讀您的消息。現在,您可能想知道如果接收者以外的其他人閱讀一個簡單的“你好”會造成什么損害。真的!但你并不總是發送“你好”。我們生活在網絡世界中,您可能不會只是隨機發送“嗨”和“你好”。如果是您的銀行密碼怎么辦?
因此,加密是必不可少的。加密只是意味著使用算法將給定數據轉換為一組隨機字符,使其不可讀且無法被黑客讀取。因此,“hello”可以被加密為“ uwsg7ite46erghkjhbklh#45424&*^%$$ ”。除非你知道解密算法,否則無論你怎么努力都看不懂,前提是你不是阿爾伯特·愛因斯坦或智商超過 160 的人。
2. 使用專用網絡和 VPN 保護 Web 服務器
您過去可能使用過 VPN,也許是為了訪問您當地法律禁止的網站上的某些內容。與所有活動都可見的開放網絡不同,私有網絡既不能被跟蹤也不能被訪問。這會降低您網絡上的風險,因為人們再也看不到您了。它就像存在于互聯網上,但沒有足跡。
專用網絡使用專用(與開放相反)IP 在服務器之間建立隔離的通信通道。這允許服務器通過相同的通道交換信息,而不會將數據包暴露給公眾。當你想使用私有 IP 連接到 Web 服務器時,需要與服務器建立連接。只有建立此連接后,您才能交換機密信息。請注意,在成功建立連接之前,來自您 IP 的所有活動都是可見的。
3. 制定嚴格的密碼規則
我們都知道如何設置密碼——保持最少 8 個字符,使用大寫字母、特殊字符和數字,同時盡可能保持無差別。您可以設置自己的密碼規則,服務器上的所有用戶都必須遵守該規則。您可以將所需的最少字符數更改為 10(可能),并將其與更嚴格的規則相結合,使您的密碼無法破解。
如果您有鎖定政策,它將對您有所幫助。注銷在其終端上有一段時間不活動的用戶。部署強大的加密——反向加密就像躲避攻擊一樣。應該不允許使用默認密碼;強制在每臺計算機上設置密碼。
4. 設置密碼過期政策
除非絕對必要,否則用戶不會總是更改密碼。設置密碼到期時間,并在到期前一周提示用戶修改密碼。根據所需的安全級別,密碼可以持續一周到一個月之間的任何時間。我們已經看到人們每隔一天更改一次密碼,但如果您存儲的數據不夠重要,則并非絕對必要。
5. 設置和維護防火墻
防火墻可幫助您控制和限制對系統的訪問。它通過監視傳入和傳出系統的流量來實現。如果任何活動看起來可疑,防火墻將阻止訪問并立即終止連接。CSF 和防火墻 對于創建嚴格的安全規則以允許和禁止網絡上的某些活動至關重要。它只允許特定的連接,同時鎖定所有不必要的虛假服務訪問。您可以設置硬件和軟件啟用的防火墻。通過控制和限制對系統的訪問來保護您的服務器。
使用 CSF(ConfigServer 和防火墻)對于加強網絡安全至關重要。它只允許特定的重要連接,鎖定對其他服務的訪問。在初始 Web 服務器設置期間或在更改服務器提供的服務時設置防火墻。請注意,防火墻默認允許一些服務,因此在將服務器連接到網絡之前檢查防火墻設置。
6. 用戶私人服務器和服務
您在共享托管服務器上(讓我們假設一下)。您服務器上的活動對您的主機可見,也可能對其他網站可見。共享服務器提供沒有固定分區的單一空間,網站有點擠在那個空間里。然而,一些優質主機的共享服務器可與VPS 相媲美,但情況并非總是如此。
如果安全和隱私對您的組織至關重要,您應該始終托管私人服務器——最好是專用托管。如果您可以將服務器并置到最近的數據中心,那就去做吧。從長遠來看,托管服務可以節省大量資金,并且是您在專用服務器上找到的最安全的服務。
7. 刪除或關閉所有不必要的服務
如果有十扇門通向一間公寓,您需要確保所有十扇門都安全。如果數量較少,則需要確保更少的門。這個想法是,網絡向量越少,您就可以更多地關注安全性。您可以刪除或關閉服務器上所有不必要的服務,從而減少受到攻擊的機會,因為您需要保護的端口更少。
大多數 Linux 發行版都在 Internet 上尋找傳入連接,因此您應該以僅允許特定端口并在出現提示時拒絕不必要的通信的方式配置防火墻。檢查您的軟件是否依賴于其他關鍵系統組件。您也需要保護這些組件。當受到攻擊時,漏洞會首先侵入這些組件,然后再侵入用戶帳戶。
8. 管理用戶
每個服務器都有一個 root 用戶,可以不受限制地控制系統。根用戶是您服務器的強大力量。它們使整個網絡保持運行并管理與服務器相關的所有復雜性。
由于權限較大,您需要格外小心,以免 root 登錄落入壞人之手。這對您的服務器來說可能是毀滅性的。禁用 root 登錄并且僅在出現提示時才無法登錄是一種普遍的做法。為確保只有授權人員才能登錄,請創建一個受限用戶帳戶。此帳戶沒有與 root 用戶相同的權限,但具有足夠的訪問權限來解決所有問題。
