网络攻击者总是在寻找可以在服务器上利用的漏洞。作为服务器管理员,您有责任确保您已关闭所有可能的漏洞并且您的数据是安全的。您需要通过实施您认为“必要”的正确措施、技巧和实践来最大程度地降低风险并确信您的数据是安全的。
因此,我们在这里提供了 8 个基本技巧,可帮助您保护Web 服务器上的数据。我们已尽力使我们的技巧尽可能扎实和必要。一旦您阅读并实施了本文中提到的所有内容,我们将返回另一篇博客,但会提供更高级的技巧。
1. 使用安全连接保护您的服务器
您是否使用开放网络连接到远程服务器?你不应该。当尝试连接到远程服务器时,您应该在该位置建立安全连接,因为数据包可能会偏离其他地方。这可能会危及您的隐私和安全。
使用安全外壳协议 (SSH) 将帮助您建立安全且受保护的连接,并且与旧的 Telnet 不同,SSH 将加密交换中的所有数据。
如果您想知道我们所说的加密是什么意思,这里有一些值得您花时间的东西 –
想象一下,您向朋友“Alex”发送“hello”。现在,请考虑您的 Messenger 未配置安全连接。然后服务器将您的消息转换成二进制等价物,并将它们直接发送到接收者的收件箱。
如果有人以某种方式利用了连接,他会很容易地阅读您的消息。现在,您可能想知道如果接收者以外的其他人阅读一个简单的“你好”会造成什么损害。真的!但你并不总是发送“你好”。我们生活在网络世界中,您可能不会只是随机发送“嗨”和“你好”。如果是您的银行密码怎么办?
因此,加密是必不可少的。加密只是意味着使用算法将给定数据转换为一组随机字符,使其不可读且无法被黑客读取。因此,“hello”可以被加密为“ uwsg7ite46erghkjhbklh#45424&*^%$$ ”。除非你知道解密算法,否则无论你怎么努力都看不懂,前提是你不是阿尔伯特·爱因斯坦或智商超过 160 的人。
2. 使用专用网络和 VPN 保护 Web 服务器
您过去可能使用过 VPN,也许是为了访问您当地法律禁止的网站上的某些内容。与所有活动都可见的开放网络不同,私有网络既不能被跟踪也不能被访问。这会降低您网络上的风险,因为人们再也看不到您了。它就像存在于互联网上,但没有足迹。
专用网络使用专用(与开放相反)IP 在服务器之间建立隔离的通信通道。这允许服务器通过相同的通道交换信息,而不会将数据包暴露给公众。当你想使用私有 IP 连接到 Web 服务器时,需要与服务器建立连接。只有建立此连接后,您才能交换机密信息。请注意,在成功建立连接之前,来自您 IP 的所有活动都是可见的。
3. 制定严格的密码规则
我们都知道如何设置密码——保持最少 8 个字符,使用大写字母、特殊字符和数字,同时尽可能保持无差别。您可以设置自己的密码规则,服务器上的所有用户都必须遵守该规则。您可以将所需的最少字符数更改为 10(可能),并将其与更严格的规则相结合,使您的密码无法破解。
如果您有锁定政策,它将对您有所帮助。注销在其终端上有一段时间不活动的用户。部署强大的加密——反向加密就像躲避攻击一样。应该不允许使用默认密码;强制在每台计算机上设置密码。
4. 设置密码过期政策
除非绝对必要,否则用户不会总是更改密码。设置密码到期时间,并在到期前一周提示用户修改密码。根据所需的安全级别,密码可以持续一周到一个月之间的任何时间。我们已经看到人们每隔一天更改一次密码,但如果您存储的数据不够重要,则并非绝对必要。
5. 设置和维护防火墙
防火墙可帮助您控制和限制对系统的访问。它通过监视传入和传出系统的流量来实现。如果任何活动看起来可疑,防火墙将阻止访问并立即终止连接。CSF 和防火墙 对于创建严格的安全规则以允许和禁止网络上的某些活动至关重要。它只允许特定的连接,同时锁定所有不必要的虚假服务访问。您可以设置硬件和软件启用的防火墙。通过控制和限制对系统的访问来保护您的服务器。
使用 CSF(ConfigServer 和防火墙)对于加强网络安全至关重要。它只允许特定的重要连接,锁定对其他服务的访问。在初始 Web 服务器设置期间或在更改服务器提供的服务时设置防火墙。请注意,防火墙默认允许一些服务,因此在将服务器连接到网络之前检查防火墙设置。
6. 用户私人服务器和服务
您在共享托管服务器上(让我们假设一下)。您服务器上的活动对您的主机可见,也可能对其他网站可见。共享服务器提供没有固定分区的单一空间,网站有点挤在那个空间里。然而,一些优质主机的共享服务器可与VPS 相媲美,但情况并非总是如此。
如果安全和隐私对您的组织至关重要,您应该始终托管私人服务器——最好是专用托管。如果您可以将服务器并置到最近的数据中心,那就去做吧。从长远来看,托管服务可以节省大量资金,并且是您在专用服务器上找到的最安全的服务。
7. 删除或关闭所有不必要的服务
如果有十扇门通向一间公寓,您需要确保所有十扇门都安全。如果数量较少,则需要确保更少的门。这个想法是,网络向量越少,您就可以更多地关注安全性。您可以删除或关闭服务器上所有不必要的服务,从而减少受到攻击的机会,因为您需要保护的端口更少。
大多数 Linux 发行版都在 Internet 上寻找传入连接,因此您应该以仅允许特定端口并在出现提示时拒绝不必要的通信的方式配置防火墙。检查您的软件是否依赖于其他关键系统组件。您也需要保护这些组件。当受到攻击时,漏洞会首先侵入这些组件,然后再侵入用户帐户。
8. 管理用户
每个服务器都有一个 root 用户,可以不受限制地控制系统。根用户是您服务器的强大力量。它们使整个网络保持运行并管理与服务器相关的所有复杂性。
由于权限较大,您需要格外小心,以免 root 登录落入坏人之手。这对您的服务器来说可能是毁灭性的。禁用 root 登录并且仅在出现提示时才无法登录是一种普遍的做法。为确保只有授权人员才能登录,请创建一个受限用户帐户。此帐户没有与 root 用户相同的权限,但具有足够的访问权限来解决所有问题。