惡意行為者總是在尋找服務器漏洞。系統(tǒng)管理員和安全員的職責是確保服務器上的數(shù)據(jù)安全可靠。通過實施我們的服務器安全提示和最佳實踐，最大限度地降低風險并提高您維護的系統(tǒng)的安全性。

什么是服務器安全？

服務器安全是一組保護服務器免受所有類型威脅的措施，例如DDoS 攻擊、暴力攻擊以及粗心或惡意用戶。這些措施可以包括安裝和維護防火墻、強制執(zhí)行強密碼和用戶身份驗證協(xié)議、安裝防病毒軟件以及進行定期備份以避免數(shù)據(jù)丟失。

為什么服務器安全很重要？

服務器在業(yè)務敏感數(shù)據(jù)處理和存儲中起著關鍵作用。使用服務器安全措施保護服務器免受外部威脅對于維護以下內(nèi)容至關重要：

• 正直——服務器安全性通過防止篡改和意外修改來確保存儲在服務器上的數(shù)據(jù)的準確性和完整性。
• 可用性——安全措施幫助系統(tǒng)管理員保持服務器及其服務始終對授權(quán)用戶可用。
• 機密性——保護存儲在服務器上的敏感數(shù)據(jù)可防止未經(jīng)授權(quán)的用戶將數(shù)據(jù)用于惡意目的。
• 聲譽——安全漏洞可能導致數(shù)據(jù)丟失或服務中斷。這些事件可能會損害公司的聲譽并造成經(jīng)濟損失。
• 合規(guī)性——大公司受行業(yè)特定法規(guī)的約束，這些法規(guī)要求其服務器符合某些安全標準。不符合這些標準通常會導致監(jiān)管罰款。

保護服務器的 21 個技巧

下面列出了提高服務器安全性的 21 個技巧。它包含專門用于 Internet 連接和用戶管理的部分，您可以在這些方面最有效地提高系統(tǒng)的整體強度。此外，該列表還介紹了整個服務器安全領域的其他最佳實踐。

安全服務器連接

1. 建立和使用安全連接

連接到遠程服務器時，必須建立安全的通信通道。SSH （安全外殼）協(xié)議是建立受保護連接的最佳方式。不同于以前使用的Telnet不同，SSH 訪問對交換中傳輸?shù)乃袛?shù)據(jù)進行加密。要使用 SSH 協(xié)議進行遠程訪問，您必須安裝 SSH 守護程序和 SSH 客戶端來發(fā)出命令和管理服務器。

默認情況下，SSH 使用端口 22。更改默認端口號是減少黑客攻擊您的服務器機會的簡單方法。因此，SSH 的最佳實踐是使用 1024 和 32,767 之間的隨機端口號。

2. 使用SSH密鑰認證

您可以使用一對 SSH 密鑰來驗證 SSH 服務器，而不是密碼，這是傳統(tǒng)登錄的更好替代方法。這些密鑰攜帶的比特數(shù)比密碼多得多，目前的計算機無法輕易破解它們。例如，流行的 RSA 2048 位加密就相當于一個 617 位密碼。

SSH 密鑰對由公鑰和私鑰組成。公鑰有多個副本，其中一個留在服務器上，其他的則與用戶共享。擁有公鑰的任何人都具有加密數(shù)據(jù)的能力，而只有擁有相應私鑰的用戶才能讀取這些數(shù)據(jù)。私鑰不得與任何人共享，必須妥善保管。建立連接時，服務器會在允許特權(quán)訪問之前要求提供用戶擁有私鑰的證據(jù)。

3. 安全文件傳輸協(xié)議

使用安全文件傳輸協(xié)議 (FTPS)有助于將文件傳輸?shù)椒掌骰驈姆掌鱾鬏斘募?，而不會有惡意行為者破壞或竊取數(shù)據(jù)的危險。FTPS 使用命令和數(shù)據(jù)通道來加密數(shù)據(jù)文件和身份驗證信息。但是，請務必記住，F(xiàn)TPS 僅在傳輸過程中保護文件。一旦他們到達服務器，數(shù)據(jù)就不再加密。出于這個原因，在發(fā)送文件之前加密文件增加了另一層安全性。

4. 安全套接字層證書

使用安全套接字層 (SSL)保護您的 Web 管理區(qū)域和表單，保護通過 Internet 在兩個系統(tǒng)之間傳遞的信息。SSL 可用于服務器-客戶端和服務器-服務器通信。

該程序?qū)?shù)據(jù)進行加密，以便敏感信息（例如姓名、身份證、信用卡號碼和其他個人信息）不會在傳輸過程中被盜。具有SSL 證書的網(wǎng)站在 URL 中帶有HTTPS ，表明它們是安全的。

證書不僅加密數(shù)據(jù)，還用于用戶身份驗證。因此，通過管理服務器的證書，SSL 有助于建立用戶權(quán)限。管理員可以將服務器配置為與中央機構(gòu)和該機構(gòu)簽署的任何其他證書進行通信。

5. 使用專用網(wǎng)絡和 VPN

確保安全通信的另一種方法是使用專用和虛擬專用網(wǎng)絡 (VPN) 以及 OpenVPN 等軟件（請參閱我們在 CentOS 上安裝和配置 OpenVPN 的指南）。與外部世界可以訪問并因此容易受到惡意用戶攻擊的開放網(wǎng)絡不同，專用和虛擬專用網(wǎng)絡限制對選定用戶的訪問。

私有網(wǎng)絡使用私有 IP 在同一 IP 范圍內(nèi)的服務器之間建立隔離的通信通道。這允許同一網(wǎng)絡中的多個服務器在不暴露于公共空間的情況下交換信息和數(shù)據(jù)。當您想像通過專用網(wǎng)絡在本地連接一樣連接到遠程服務器時，請使用 VPN。VPN 支持完全安全和私密的連接，并且可以包含多個遠程服務器。對于在同一 VPN 下通信的服務器，它們必須共享安全和配置數(shù)據(jù)。

服務器用戶管理

6. 監(jiān)控登錄嘗試

使用入侵防御軟件來監(jiān)控登錄嘗試是一種保護您的服務器免受暴力攻擊的方法。這些自動攻擊使用試錯法，嘗試每一種可能的字母和數(shù)字組合來訪問系統(tǒng)。入侵防御軟件監(jiān)督所有日志文件并檢測是否有可疑的登錄嘗試。當嘗試次數(shù)超過設定的標準時，入侵防御軟件會在一段時間內(nèi)或無限期地封鎖該 IP 地址。

7. 管理用戶

每個服務器都有一個可以執(zhí)行任何命令的根用戶。由于它具有的訪問級別，如果服務器落入壞人之手，root 可能會很危險。完全禁用 SSH 的根登錄是一種普遍的做法。

由于 root 用戶擁有最大的權(quán)限，因此黑客將注意力集中在嘗試破解 root 密碼上。當您完全禁用此用戶時，您會使攻擊者處于不利地位并保護服務器免受潛在威脅。為確保外人不會濫用 root 權(quán)限，請創(chuàng)建一個受限用戶帳戶。此帳戶沒有與 root 相同的權(quán)限，但可以使用sudo 命令執(zhí)行管理任務。因此，您可以使用有限的用戶帳戶管理大多數(shù)任務，并且僅在必要時才使用 root 帳戶。

服務器密碼安全

8. 建立密碼要求

首先是設置所有服務器用戶必須遵守的密碼要求和規(guī)則。請遵循以下基本規(guī)則：

• 不允許空密碼或默認密碼。
• 強制執(zhí)行最小密碼長度和復雜性。
• 有鎖定政策。
• 不要使用可逆加密存儲密碼。
• 為不活動強制會話超時并啟用雙因素身份驗證。

9. 設置密碼過期策略

設置密碼的到期日期是建立用戶需求時的另一種常規(guī)做法。根據(jù)所需的安全級別，密碼可能會持續(xù)數(shù)周或數(shù)月。

10. 使用密碼作為服務器密碼

使用密碼而不是密碼可以幫助提高服務器安全性。主要區(qū)別在于密碼短語更長并且單詞之間包含空格。因此，它通常是一個句子，但不一定是一個。例如，密碼密碼可能是：Ilove!EatingPizzaAt1676MainSt。給定的示例比通常的密碼更長，并且包含大寫和小寫字母、數(shù)字和唯一字符。此外，記住密碼比記住一串隨機字母要容易得多。最后，由于它由 49 個字符組成，因此更難破解。

11. 密碼禁忌

如果您想維護一個安全的服務器，那么在密碼方面您需要避免一些事情。請注意存儲密碼的位置。不要把它們寫在紙上，放在辦公室里。

建議不要使用個人信息，例如您的生日、家鄉(xiāng)、寵物名稱和其他可以將您與密碼聯(lián)系起來的東西。這些非常容易猜到，尤其是認識你的人。僅包含簡單字典單詞的密碼也很容易破解，尤其是通過字典（暴力）攻擊。此外，盡量避免在同一密碼中重復字符序列。

最后，不要對多個帳戶使用相同的密碼。通過回收密碼，您將自己置于重大風險之中。如果黑客設法獲得對單個帳戶的訪問權(quán)限，則使用相同密碼的所有其他帳戶都可能處于危險之中。嘗試為每個帳戶使用不同的密碼，并使用KeePass 等密碼管理器跟蹤它們。

保護服務器的其他最佳實踐

12. 定期更新和升級軟件

定期更新服務器上的軟件對于保護服務器免受黑客攻擊至關重要。過時的軟件已經(jīng)針對其弱點進行了探索，這讓黑客可以利用并破壞您的系統(tǒng)。

自動更新是保證您不會跳過重要更新的一種方式。但是，允許系統(tǒng)進行自動更改可能會有風險。在更新生產(chǎn)環(huán)境之前，最好檢查更新在測試環(huán)境中的執(zhí)行情況。確保定期更新服務器控制面板。您還需要定期更新您的內(nèi)容管理系統(tǒng)（如果您使用它），以及它可能擁有的任何插件。每個新版本都包含用于修復已知安全問題的安全補丁。

13. 刪除或關閉所有不必要的服務

通過減少所謂的攻擊媒介來提高服務器安全性。這個網(wǎng)絡安全術語指的是僅安裝和維護保持服務運行所需的最低要求。僅啟用服務器操作系統(tǒng)和已安裝組件使用的網(wǎng)絡端口。系統(tǒng)上的內(nèi)容越少越好。Windows 操作系統(tǒng)服務器應僅具有必需的操作系統(tǒng)組件。Linux 操作系統(tǒng)服務器應進行最小化安裝，僅安裝必要的軟件包。

由于大多數(shù) Linux 發(fā)行版都會偵聽 Internet 上的傳入連接，因此請將防火墻配置為僅允許特定端口并拒絕所有其他不必要的通信。在您的系統(tǒng)上安裝軟件之前檢查依賴項，以確保您沒有添加任何您不需要的東西。此外，檢查哪些依賴項在系統(tǒng)上自動啟動，以及您是否需要它們。

14. 隱藏服務器信息

旨在提供盡可能少的有關底層基礎設施的信息。對您的服務器了解得越少越好。此外，最好隱藏服務器上安裝的任何軟件的版本號。版本指示器通常會顯示確切的發(fā)布日期，這有助于黑客尋找弱點。

15. 使用入侵檢測系統(tǒng)

要檢測未經(jīng)授權(quán)的活動，請使用入侵檢測系統(tǒng) (IDS)，例如 Sophos，它會監(jiān)控在您的服務器上運行的進程。您可以將其設置為檢查日常操作、運行自動定期掃描或決定手動運行 IDS。

16. 檔案審核

文件審計是另一種發(fā)現(xiàn)系統(tǒng)上不需要的更改的有效方法。此方法記錄系統(tǒng)處于健康狀態(tài)時的所有特征，并將其與當前狀態(tài)進行比較。通過將同一系統(tǒng)的兩個版本并排比較，您可以檢測到所有不一致之處并追蹤它們的來源。

17. 服務審計

服務審計探索服務器上運行的服務、它們的協(xié)議以及它們通信所用的端口。了解這些細節(jié)有助于為系統(tǒng)中的攻擊面配置有效的保護。

18. 設置和維護防火墻

通過控制和限制對系統(tǒng)的訪問來保護您的服務器。使用 CSF（ConfigServer 和Firewall）對于加強服務器的安全性至關重要。它只允許特定的重要連接并鎖定對其他服務的訪問。在初始服務器設置期間或更改服務器服務時設置防火墻。默認情況下，典型的服務器運行多個公共、私有和內(nèi)部服務。

• 公共服務通常在需要允許訪問網(wǎng)站的 Web 服務器上運行。任何人都可以通過互聯(lián)網(wǎng)訪問這些服務。
• 例如，在處理數(shù)據(jù)庫控制面板時使用私有服務。在這種情況下，許多選定的用戶可以訪問同一點。他們擁有在服務器上具有特殊權(quán)限的授權(quán)帳戶。
• 內(nèi)部服務永遠不應暴露于互聯(lián)網(wǎng)或外部世界。它們只能從服務器內(nèi)部訪問并且只接受本地連接。

防火墻的作用是根據(jù)用戶被授權(quán)的服務來允許、限制和過濾訪問。配置防火墻以限制所有服務，但服務器必須提供的服務除外。

19. 備份你的服務器

盡管前面提到的步驟旨在保護您的服務器數(shù)據(jù)，但備份系統(tǒng)以防萬一出現(xiàn)問題至關重要。將關鍵數(shù)據(jù)的加密備份存儲在異地或使用云數(shù)據(jù)備份和恢復解決方案。無論您有自動備份作業(yè)還是手動執(zhí)行備份作業(yè)，請確保將此預防措施作為例行程序。此外，您應該執(zhí)行全面的備份測試。這包括“健全性檢查”，管理員或最終用戶在其中驗證數(shù)據(jù)恢復是否一致。

20. 創(chuàng)建多服務器環(huán)境

隔離是您可以擁有的最好的服務器保護類型之一。完全分離需要擁有不與其他服務器共享任何資源的專用裸機服務器。盡管此方法提供了最高的安全性，但它也是最昂貴的。在數(shù)據(jù)中心隔離執(zhí)行環(huán)境允許所謂的職責分離 (SoD) 并根據(jù)服務器實現(xiàn)的功能設置服務器配置。

將數(shù)據(jù)庫服務器和 Web 應用程序服務器分開是一種標準的安全做法。單獨的執(zhí)行環(huán)境對于無法承受任何安全漏洞的大型企業(yè)特別有利。獨立的數(shù)據(jù)庫服務器保護敏感信息和系統(tǒng)文件免受設法獲得管理帳戶訪問權(quán)限的黑客的攻擊。此外，隔離讓系統(tǒng)管理員可以單獨配置 Web 應用程序安全性并最大限度地減少攻擊面。

21. 創(chuàng)建虛擬隔離環(huán)境

如果您負擔不起或不需要與專用服務器組件完全隔離，您也可以選擇隔離執(zhí)行環(huán)境。這樣做可以幫助您處理安全問題，同時確保其他數(shù)據(jù)不會受到損害。您可以在更易于設置的容器或 VM 虛擬化之間進行選擇。UNIX 操作系統(tǒng)中虛擬化環(huán)境的另一個選擇是創(chuàng)建 chroot 監(jiān)獄。Chroot 將進程從中央操作系統(tǒng)的根目錄中分離出來，并只允許它訪問其目錄樹中的文件。但是，這不是完全隔離，只能與其他安全措施一起使用。

結(jié)論

閱讀本文并遵循安全建議后，您應該對服務器安全性更有信心。其中許多安全措施應在初始服務器設置期間實施，而其他措施應作為持續(xù)或定期維護的一部分。如果您的服務器監(jiān)控不是自動化的，請確保設計并遵循預定的安全檢查。為了及時了解網(wǎng)絡安全的最佳實踐，我們建議您考慮網(wǎng)絡安全認證，并在許多可用的播客上關注安全領域的行業(yè)領導者。