在線業(yè)務(wù)的趨勢(shì)與日俱增,方便用戶通過在線支付無需訪問銀行即可在家門口購(gòu)買服務(wù)或產(chǎn)品�����。保護(hù)數(shù)據(jù)是最重要的�����,因?yàn)楹诳驼诜e極嘗試破壞機(jī)密和私人信息��。在本文中����,您將了解這10個(gè)步驟����,讓你安全地設(shè)置服務(wù)器。
以下細(xì)節(jié)可能因發(fā)行版而異����,但相同的概念可用于任何風(fēng)格的Linux。一旦您完成了所有這些服務(wù)器配置����,這意味著您已經(jīng)添加了針對(duì)常見攻擊的基本保護(hù)�����。
1. 用戶配置
在服務(wù)器配置中執(zhí)行任何其他操作之前��,更改 root 密碼是您需要做的基本事情���。嘗試使用數(shù)字�、符號(hào)����、大小寫字母組合的復(fù)雜密碼。通過設(shè)置密碼策略來防止黑客攻擊��,該策略指定使用本地帳戶的歷史記錄�����、鎖定和復(fù)雜性要求��,并確保您的密碼長(zhǎng)度至少為 8 個(gè)字符����。完全禁用 root 用戶���,并為需要提升權(quán)限的用戶創(chuàng)建其他具有 sudo 訪問權(quán)限的非特權(quán)帳戶。
2. 網(wǎng)絡(luò)配置
您需要通過分配 IP 地址和主機(jī)名來啟用可能的網(wǎng)絡(luò)連接���。網(wǎng)絡(luò)服務(wù)器必須分配靜態(tài) IP 地址����,以便用戶始終可以在同一地址找到該網(wǎng)絡(luò)資源��。如果是 VLAN(虛擬局域網(wǎng))���,請(qǐng)考慮基本的事情,包括服務(wù)器網(wǎng)段的隔離程度以及它更適合的位置����。如果您不使用 IPV6,則無需將其打開�。設(shè)置任何主機(jī)名、域(如果沒有則注冊(cè)任何域名)和 DNS 服務(wù)器的信息�。此外,可以使用 多個(gè)DNS 服務(wù)器進(jìn)行冗余�����,并通過測(cè)試 nslookup 來檢查解析是否正常工作。
3. 包管理
設(shè)置服務(wù)器可能有任何特定目的�,因此請(qǐng)確保您已安裝發(fā)行版中未包含的所需軟件包。有不同的最廣泛使用的應(yīng)用程序包����,包括 PHP、NGINX����、MongoDB 和其他支持包,例如 pear�����。請(qǐng)記住�����,刪除額外的包以縮小服務(wù)器占用空間���,因?yàn)槟恍枰A羲鼈円怨┻M(jìn)一步使用���。在不久的將來���,如果您需要獲得他們的特定服務(wù),那么您只需轉(zhuǎn)到您的發(fā)行版的包管理解決方案即可輕松地再次安裝它們���。
4.更新安裝和配置
現(xiàn)在����,您已經(jīng)在服務(wù)器上安裝了所需的軟件包����,但請(qǐng)確保所有軟件包都已更新。還必須使內(nèi)核和默認(rèn)軟件包保持最新����。如果您需要舊版本����,則可以使用,但出于安全目的�,我建議您使用最新版本。包管理器將提供有關(guān)最新支持版本的信息以及自動(dòng)更新選項(xiàng)��。
5.NTP配置
服務(wù)器設(shè)置或服務(wù)器配置一旦在所需安全級(jí)別的幫助下正確完成��,將幫助您以最小的風(fēng)險(xiǎn)因素讓您高枕無憂。NTP 服務(wù)器可以是可供所有人使用的內(nèi)部或外部時(shí)間服務(wù)器��。為什么防止時(shí)鐘漂移更重要��,因?yàn)樗赡軙?huì)導(dǎo)致許多問題��,例如身份驗(yàn)證問題��,因?yàn)樵谑谟柙L問權(quán)限之前測(cè)量計(jì)算機(jī)(服務(wù)器)和身份驗(yàn)證基礎(chǔ)設(shè)施之間的時(shí)間偏差���。因此��,必須防止時(shí)鐘偏差問題才能正常工作��。
6. 防火墻和 iptables
在這個(gè)數(shù)字世界中��,必須實(shí)施所需的安全級(jí)別�����。一旦被黑客入侵�����,就不可能再次獲得客戶的信任并再次穩(wěn)定業(yè)務(wù)��。根據(jù)分發(fā)類型��,iptables 可能被鎖定或要求您打開所需的內(nèi)容���,但不要將其保留為默認(rèn)值�����。根據(jù)您的特定需要更改服務(wù)器的配置�����,并始終使用最小權(quán)限原則����。
只打開那些對(duì)于不同服務(wù)的工作高度需要和強(qiáng)制的端口����。這是使用服務(wù)器后面的專用防火墻并確保您的 iptables/firewall 默認(rèn)為限制性的好方法。
7. 保護(hù) SSH
它與 Windows 操作系統(tǒng)中使用的命令行界面相同���。SSH 是 Linux 發(fā)行版的訪問方法,用于執(zhí)行管理級(jí)別的操作。禁用 root 遠(yuǎn)程 SSH 的能力�����,這樣如果在服務(wù)器計(jì)算機(jī)上啟用了 root����,那么它將無法遠(yuǎn)程利用。
8. 守護(hù)程序配置
現(xiàn)在���,您已經(jīng)配置了服務(wù)器�����,但還需要實(shí)施一些事情以提高安全性��。設(shè)置正確的應(yīng)用程序以在重新啟動(dòng)時(shí)自動(dòng)啟動(dòng)并關(guān)閉不使用的守護(hù)程序����。這是一種減少活動(dòng)足跡的主動(dòng)方法���,以便只有應(yīng)用程序所需的表面區(qū)域可用于攻擊����。完成此任務(wù)后,盡量加固其他剩余服務(wù)�,享受最高級(jí)別的安全性和彈性。
9. SELinux 和進(jìn)一步強(qiáng)化
ELinux(Security-Enhanced Linux)是一種內(nèi)核強(qiáng)化工具或安全架構(gòu)����,用于保護(hù)服務(wù)器機(jī)器免受不同操作的影響,并允許管理員更好地控制誰可以訪問�����。
基于 Linux 的發(fā)行版上的 MAC(強(qiáng)制訪問控制)�����。它是一個(gè)很好的工具�����,用于保護(hù)對(duì)系統(tǒng)資源的未經(jīng)授權(quán)的訪問��。建議在啟用 SELinux 的幫助下測(cè)試您的配置���,以便您可以確保在日志的幫助下沒有阻止任何合法的東西���。您還可以檢查強(qiáng)化其他應(yīng)用程序(如 MySQL�����、Apache 等)的不同方法。
10. 記錄
在最后階段����,確保您所需的日志記錄級(jí)別已啟用或未啟用,并且您有足夠的資源���。如果你已經(jīng)建立了一個(gè)日志結(jié)構(gòu)�����,那么在短時(shí)間內(nèi)解決問題對(duì)你來說會(huì)更有用?,F(xiàn)在����,對(duì)服務(wù)器進(jìn)行故障排除以獲取更多信息或轉(zhuǎn)到具有可配置日志結(jié)構(gòu)的軟件以了解數(shù)據(jù)不足和信息過多之間的平衡。此外�����,還有第三方工具可幫助您從聚合到可視化����,但必須了解每個(gè)環(huán)境的需求�����。然后�����,您可以選擇正確的工具或工具集來正確填充它們���。
總之,如果您的服務(wù)器是攻擊的目標(biāo)�����,則能采取以上10個(gè)服務(wù)器配置步驟�����,不給任何黑客提供機(jī)會(huì)����。
