保護(hù)您的服務(wù)器以防止數(shù)據(jù)丟失或安全危害非常重要。因?yàn)榘踩珜υS多人來說是一個(gè)極具挑戰(zhàn)性的主題,所以它常常被忽視。當(dāng)問題出現(xiàn)時(shí),許多人都沒有意識到。通過遵循這些最佳實(shí)踐,您可以顯著降低被惡意行為者破壞的風(fēng)險(xiǎn)。
服務(wù)器安全最佳實(shí)踐
1.服務(wù)器管理
正確的服務(wù)器管理可確保所有活動(dòng)繼續(xù)滿足組織標(biāo)準(zhǔn)并保持服務(wù)器運(yùn)營的最佳性能。這包括聘請合格的系統(tǒng)管理員和實(shí)施物理和內(nèi)部安全措施。
2. 人身安全
實(shí)施物理安全控制有助于防止未經(jīng)授權(quán)的人員物理訪問路由器、配線柜和服務(wù)器等組件。通過物理訪問控制 (PAC) 進(jìn)行的受控訪問,例如鎖、生物識別身份驗(yàn)證和徽章等其他設(shè)備,在任何組織中都是必不可少的。
傳統(tǒng)門和鎖是物理訪問控制系統(tǒng)的最基本形式,但企業(yè)級物理訪問控制系統(tǒng)更進(jìn)一步。訪問控制在建筑物的某些區(qū)域可能更嚴(yán)格,例如具有公共訪問區(qū)域和限制訪問區(qū)域的組織。
維護(hù)憑證數(shù)據(jù)庫并刪除任何已停用的用戶是一種安全最佳做法。此外,添加不同類型的 PAC 是一個(gè)很好的公式,可以更安全地控制對企業(yè)中易受攻擊或重要部門的物理訪問。
3.更新軟件和操作系統(tǒng)
保持軟件和操作系統(tǒng) (OS) 的更新周期是您可以為服務(wù)器采取的最重要的安全預(yù)防措施。更新范圍從關(guān)鍵漏洞補(bǔ)丁到小錯(cuò)誤修復(fù)。許多軟件漏洞在公開時(shí)都會(huì)被修補(bǔ),這增加了用戶安裝更新的緊迫性。
由于服務(wù)器系統(tǒng)往往與軟件環(huán)境有著復(fù)雜的關(guān)系,因此故障可能會(huì)被忽視。未能及時(shí)更新服務(wù)器上的操作系統(tǒng)和任何其他軟件將不可避免地使其面臨常見漏洞。企業(yè)必須計(jì)劃在合理的時(shí)間內(nèi)執(zhí)行定期更新和補(bǔ)丁以維護(hù)安全。
4. 安全連接
SSH
當(dāng)需要通過命令行(終端)訪問服務(wù)器時(shí),請使用安全外殼 (SSH)連接。SSH 為數(shù)據(jù)傳輸創(chuàng)建安全管道。此連接僅保護(hù)通過終端從計(jì)算機(jī)發(fā)送到服務(wù)器的信息。
其他需要考慮的是SSH 端口。SSH 默認(rèn)端口是#22。最佳實(shí)踐建議避免使用此端口并使用 32768 到 61000 的端口范圍以獲得額外的完整性。此更改可防止對連接和主要黑客雷達(dá)的自動(dòng)攻擊。
SSH 密鑰
不要使用 SSH 密碼訪問服務(wù)器,而是使用SSH 密鑰。他們禁用以 root 用戶身份訪問服務(wù)器所需的 SSH 功能,從而無需使用 root 密碼。與單獨(dú)使用密碼相比,它在連接到服務(wù)器時(shí)提供了額外的安全層。
使用 SSH 密鑰還允許我們創(chuàng)建加密安全密鑰對,將唯一的連接信息本地存儲(chǔ)在您的計(jì)算機(jī)和服務(wù)器上。由于 SSH 密鑰對以加密方式生成,因此密鑰大小越大,越安全。
代理服務(wù)器是作為附加安全措施的一種選擇,因?yàn)樗鼈儗⑷魏尉W(wǎng)絡(luò)用戶隱藏在代理的 IP 地址和主機(jī)防火墻之后。此設(shè)置使黑客更難以針對特定設(shè)備進(jìn)行訪問。
多重身份驗(yàn)證 (MFA)
SSH 密鑰主要是一種單因素身份驗(yàn)證方法。雙重或多重身份驗(yàn)證將要求用戶提供不同類型的信息(電話號碼、電子郵件、政府 ID)以訪問敏感數(shù)據(jù)。
虛擬專用網(wǎng)絡(luò)
虛擬專用網(wǎng)絡(luò) (VPN)是從遠(yuǎn)程位置到本地專用網(wǎng)絡(luò)的專用連接。它確保私人數(shù)據(jù)保持安全并維護(hù)該信息的機(jī)密性和完整性。VPN 為在線通信和瀏覽提供隱私和保護(hù),使您的設(shè)備和 Internet 之間的連接保密。
Fail2Ban
Fail2ban是一種服務(wù)器軟件,它通過懲罰或阻止嘗試暴力訪問的遠(yuǎn)程連接來防止入侵者。它允許您監(jiān)控攻擊的影響和頻率,并發(fā)布防火墻規(guī)則更新以在指定時(shí)間內(nèi)阻止可疑 IP 地址。Fail2Ban 可以監(jiān)控多種協(xié)議,包括 HTTP、SSH 和 SMTP。默認(rèn)情況下,F(xiàn)ail2Ban 僅監(jiān)控 SSH,但對任何服務(wù)器來說都是一種有用的安全威懾。
SSL/TLS
另一個(gè)有效的保護(hù)措施是服務(wù)器安全證書,例如安全套接字層 (SSL) 和傳輸層安全 (TLS)。這些安全證書是用于身份驗(yàn)證和加密的加密協(xié)議,其中 TLS 是 SSL 的更新版本。TLS 修復(fù)了舊 SSL 協(xié)議中的一些安全漏洞,這些證書是用戶身份驗(yàn)證所必需的。
服務(wù)器安全證書通過對通過 Internet 發(fā)送的敏感數(shù)據(jù)(例如密碼、用戶名和信用卡信息)進(jìn)行加擾來保護(hù)網(wǎng)絡(luò)通信,從而允許服務(wù)器驗(yàn)證實(shí)體。
限制根訪問
SSH 應(yīng)該僅限于有限的用戶子集。為此,請將以下信息添加到/etc/ssh/sshd_config文件。
PermitRootLogin no Protocol 2
然后,將 SSH 用戶組添加到/etc/ssh/sshd_config文件。
AllowGroups sshusers
5.禁用不必要的服務(wù)
審計(jì)服務(wù)
服務(wù)審計(jì)探索服務(wù)器上正在運(yùn)行的服務(wù)、它們使用的協(xié)議以及它們交互的端口。意識到這些因素將有助于減少系統(tǒng)中的任何攻擊向量。
大多數(shù)服務(wù)器都默認(rèn)啟用某些服務(wù),允許您使用服務(wù)器上可用的多種功能。如果不使用這些額外的服務(wù),最好禁用它們。在基于 Red Hat 的系統(tǒng)上運(yùn)行特定命令可幫助您查找和禁用不必要的服務(wù)。
支持 Red Hat/CentOS 的服務(wù)
要查看 Red Hat 或 CentOS 中啟用的服務(wù),請運(yùn)行以下命令。
systemctl list-unit-files | grep enabled
這是輸出。
[root@host ~]# systemctl list-unit-files | grep enabled var-lib-snapd-snap-core-7917.mount enabled var-lib-snapd-snap-hello\x2dworld-29.mount enabled var-lib-snapd-snap-snapcraft-3440.mount enabled acpid.service enabled auditd.service enabled autovt@.service enabled crond.service enabled dbus-org.fedoraproject.FirewallD1.service enabled firewalld.service enabled getty@.service enabled irqbalance.service enabled microcode.service enabled NetworkManager-wait-online.service enabled postfix.service enabled qemu-guest-agent.service enabled rhel-autorelabel.service enabled rhel-configure.service enabled rhel-dmesg.service enabled rhel-domainname.service enabled rhel-import-state.service enabled rhel-loadmodules.service enabled rhel-readonly.service enabled rsyslog.service enabled sonarpush.service enabled sshd.service enabled systemd-readahead-collect.service enabled systemd-readahead-drop.service enabled systemd-readahead-replay.service enabled tuned.service enabled snapd.socket enabled default.target enabled multi-user.target enabled remote-fs.target enabled runlevel2.target enabled runlevel3.target enabled runlevel4.target enabled [root@host ~]#
以下命令顯示正在運(yùn)行的服務(wù)。
systemctl | grep running
輸出如下。
[root@host ~]# systemctl | grep running session-2969.scope loaded active running Session 2969 of user root acpid.service loaded active running ACPI Event Daemon auditd.service loaded active running Security Auditing Service crond.service loaded active running Command Scheduler dbus.service loaded active running D-Bus System Message Bus firewalld.service loaded active running firewalld - dynamic firewall daemon getty@tty1.service loaded active running Getty on tty1 irqbalance.service loaded active running irqbalance daemon polkit.service loaded active running Authorization Manager postfix.service loaded active running Postfix Mail Transport Agent rsyslog.service loaded active running System Logging Service serial-getty@ttyS0.service loaded active running Storm management console on Serial Getty ttyS0 snapd.service loaded active running Snappy daemon sonarpush.service loaded active running LiquidWeb Sonarpush Monitoring Agent sshd.service loaded active running OpenSSH server daemon systemd-journald.service loaded active running Journal Service systemd-logind.service loaded active running Login Service systemd-udevd.service loaded active running udev Kernel Device Manager tuned.service loaded active running Dynamic System Tuning Daemon dbus.socket loaded active running D-Bus System Message Bus Socket snapd.socket loaded active running Socket activation for snappy daemon systemd-journald.socket loaded active running Journal Socket systemd-udevd-control.socket loaded active running udev Control Socket systemd-udevd-kernel.socket loaded active running udev Kernel Socket [root@host ~]#
要禁用服務(wù),例如藍(lán)牙,請使用此命令。
systemctl disable bluetooth
Debian/Ubuntu 運(yùn)行服務(wù)
以下命令向您顯示在基于 Debian 或 Ubuntu 的服務(wù)器上運(yùn)行的服務(wù)。
service --status-all |grep '+'
這是輸出。
root@host ~# service --status-all |grep '+' [ + ] apache-htcacheclean [ + ] apache2 [ + ] apparmor [ + ] apport [ + ] atd [ + ] binfmt-support [ + ] cron [ + ] dbus [ + ] ebtables [ + ] grub-common [ + ] irqbalance [ + ] iscsid [ + ] lvm2-lvmetad [ + ] lvm2-lvmpolld [ + ] lxcfs [ + ] procps [ + ] rsyslog [ + ] ssh [ + ] udev [ + ] ufw [ + ] unattended-upgrades root@host ~#
此命令列出由systemV管理的服務(wù)的狀態(tài)。加號 (+) 和減號 (-) 表示服務(wù)是否處于活動(dòng)狀態(tài)。
systemctl | grep running
下面顯示了輸出。
root@host ~# systemctl | grep running proc-sys-fs-binfmt_misc.automount loaded active running Arbitrary Executable File Formats File System Automount Point init.scope loaded active running System and Service Manager session-1726.scope loaded active running Session 1726 of user root accounts-daemon.service loaded active running Accounts Service apache2.service loaded active running The Apache HTTP Server atd.service loaded active running Deferred execution scheduler cron.service loaded active running Regular background program processing daemon dbus.service loaded active running D-Bus System Message Bus getty@tty1.service loaded active running Getty on tty1 irqbalance.service loaded active running irqbalance daemon lvm2-lvmetad.service loaded active running LVM2 metadata daemon lxcfs.service loaded active running FUSE filesystem for LXC networkd-dispatcher.service loaded active running Dispatcher daemon for systemd-networkd polkit.service loaded active running Authorization Manager rsyslog.service loaded active running System Logging Service serial-getty@ttyS0.service loaded active running Storm management console on Serial Getty ttyS0 snapd.service loaded active running Snappy daemon ssh.service loaded active running OpenBSD Secure Shell server systemd-journald.service loaded active running Journal Service systemd-logind.service loaded active running Login Service systemd-networkd.service loaded active running Network Service systemd-resolved.service loaded active running Network Name Resolution systemd-timesyncd.service loaded active running Network Time Synchronization systemd-udevd.service loaded active running udev Kernel Device Manager unattended-upgrades.service loaded active running Unattended Upgrades Shutdown user@0.service loaded active running User Manager for UID 0 dbus.socket loaded active running D-Bus System Message Bus Socket lvm2-lvmetad.socket loaded active running LVM2 metadata daemon socket snapd.socket loaded active running Socket activation for snappy daemon syslog.socket loaded active running Syslog Socket systemd-journald-audit.socket loaded active running Journal Audit Socket systemd-journald-dev-log.socket loaded active running Journal Socket (/dev/log) systemd-journald.socket loaded active running Journal Socket systemd-udevd-control.socket loaded active running udev Control Socket systemd-udevd-kernel.socket loaded active running udev Kernel Socket root@host ~#
要禁用服務(wù),請使用以下命令。
systemctl disable apache
從系統(tǒng)中刪除 X Windows。
X 窗口系統(tǒng)(也稱為 X11,或簡稱為 X)是一種用于位圖顯示的窗口系統(tǒng),是類 Unix 操作系統(tǒng)的標(biāo)準(zhǔn)配置。它為窗口圖形用戶界面 (GUI) 環(huán)境提供了一個(gè)基本框架。CentOS、Red Hat Enterprise Linux (RHEL) 和 Fedora Linux 中包含的 X Windows 系統(tǒng)稱為 X.org。
大多數(shù)服務(wù)器不需要 GUI 來執(zhí)行一般服務(wù)器管理任務(wù),而其他服務(wù)器則使用管理面板。了解服務(wù)器有多少開放路徑并僅啟用您需要的路徑會(huì)很有幫助。如果已安裝 X Windows 而您的服務(wù)器不需要它,最好將其刪除。
使用此命令刪除 X Windows 系統(tǒng)。
yum groupremove "X Window System"
6. 保留備份
丟失關(guān)鍵信息對任何企業(yè)來說都是災(zāi)難性的。幸運(yùn)的是,有許多可靠的備份解決方案可用,包括可以同時(shí)支持物理和虛擬服務(wù)器的服務(wù)器備份軟件。
Liquid Web 提供多種備份選項(xiàng)。一些工具允許您快速執(zhí)行和自動(dòng)化備份和恢復(fù)率,并輕松監(jiān)控備份配置文件以避免數(shù)據(jù)丟失。制定備份計(jì)劃時(shí),最佳做法是使用備份保留的 3-2-1 規(guī)則。
3-2-1 規(guī)則
三:創(chuàng)建數(shù)據(jù)的三個(gè)副本。這些副本應(yīng)包括一份主副本和兩份備份。
二:將數(shù)據(jù)副本存儲(chǔ)在至少兩種不同類型的存儲(chǔ)介質(zhì)上。您可以將一份副本存儲(chǔ)在本地硬盤驅(qū)動(dòng)器上,將另一份副本存儲(chǔ)在外部驅(qū)動(dòng)器、網(wǎng)絡(luò)附加存儲(chǔ) (NAS) 或本地保存的存儲(chǔ)服務(wù)器上。
一:異地存儲(chǔ)一份數(shù)據(jù)副本。此選項(xiàng)可以是位于其他位置的存儲(chǔ)服務(wù)器,也可以是托管提供商提供的云存儲(chǔ)解決方案。
7.用戶管理
監(jiān)控登錄嘗試
主機(jī)入侵檢測系統(tǒng) (HIDS) 是一種監(jiān)視設(shè)備和網(wǎng)絡(luò)是否存在可疑活動(dòng)的應(yīng)用程序。它檢查內(nèi)核日志中訪問的文件、使用的應(yīng)用程序和數(shù)據(jù)。網(wǎng)絡(luò)入侵檢測系統(tǒng) (NIDS) 是一種監(jiān)控網(wǎng)絡(luò)流量是否存在可疑活動(dòng)的應(yīng)用程序。它評估網(wǎng)絡(luò)內(nèi)設(shè)備之間的數(shù)據(jù)流。HIDS 用于更全面的解決方案,NDIS 用于基于局域網(wǎng) (LAN) 的解決方案。
這是 HIDS 的列表:
- 奧賽克
- Wazuh(OSSEC 的一個(gè)分支,提供更高的可靠性和可擴(kuò)展性)
- 絆線
- 薩溫
- 安全洋蔥
NIDS 和 HIDS 可以結(jié)合使用,形成一個(gè)堅(jiān)實(shí)而全面的入侵檢測系統(tǒng)策略。一些建議包括:
- 打鼾
- 最小值
- 澤克
- OpenWIPS-ng
- 學(xué)校b
限制用戶權(quán)限
為確保只有需要的用戶才能訪問關(guān)鍵系統(tǒng),請將他們擁有的權(quán)限集限制為 644 或 444(文件)和 755(文件夾)。
執(zhí)行用戶測試
設(shè)置一個(gè)特定的日期來執(zhí)行安全審計(jì),并在它到來之前通知用戶。定義您的期望,并讓他們對任何發(fā)現(xiàn)的缺陷負(fù)責(zé)。
持續(xù)的安全培訓(xùn)
發(fā)送每月提醒并每三個(gè)月進(jìn)行一次培訓(xùn),在多個(gè)領(lǐng)域(電子郵件、網(wǎng)絡(luò)和物理)進(jìn)行為期六個(gè)月的試運(yùn)行,并跟蹤失敗以改進(jìn)這些領(lǐng)域并增加額外的培訓(xùn)。
旅行安全
安全不僅僅止于您企業(yè)的前門。為出差的員工設(shè)置安全參數(shù)培訓(xùn)在當(dāng)今世界是一個(gè)明智的選擇,在許多公司完全遠(yuǎn)程或?yàn)槟承┎块T安排遠(yuǎn)程周的情況下更是如此。
8. 使用 SELinux
SELinux 是一個(gè)基于內(nèi)核的安全模塊,它提供了一種機(jī)制來支持訪問控制安全策略,包括強(qiáng)制訪問控制 (MAC)。它主要用作調(diào)整訪問控制要求的手段。
使用 SELinux,您可以指定進(jìn)程或用戶可以做什么。它可以將操作限制在其域內(nèi),因此操作只能從允許的域與特定文件類型或其他進(jìn)程進(jìn)行交互。
SELinux 可以存在于以下三種可能模式中的任何一種:
- 執(zhí)行 - SELinux 主動(dòng)執(zhí)行定義的策略。
- 許可 - 主要用于測試。未應(yīng)用執(zhí)行但已記錄。
- 禁用 - 系統(tǒng)處于非活動(dòng)狀態(tài)。
9. 意識和教育
如果您不知道要尋找什么或不知道要問什么問題,那么重要的事情就會(huì)被忽視。雖然您無需成為安全專家也能受到保護(hù),但您必須意識到試圖損害您的業(yè)務(wù)的危險(xiǎn)。
一個(gè)常見的誤解是完全托管的服務(wù)器產(chǎn)品是您需要的所有安全性。但是,托管服務(wù)提供商會(huì)與您和您的團(tuán)隊(duì)合作以確保您的環(huán)境安全。托管提供商確保硬件、網(wǎng)絡(luò)和設(shè)施的安全,但您的數(shù)據(jù)是您的責(zé)任。您和您的團(tuán)隊(duì)必須就常見的安全問題以及如何保護(hù)您的網(wǎng)站和應(yīng)用程序免受這些問題進(jìn)行自我教育。
10. 保護(hù)文件系統(tǒng)
有幾個(gè)步驟可以保護(hù)服務(wù)器文件系統(tǒng)。對于初學(xué)者,始終將具有用戶可寫目錄的文件系統(tǒng)掛載在單獨(dú)的分區(qū)上。此外,使用您選擇的文本編輯器在/etc/fstab文件中使用nosuid、nodev和noexec 。
以下是一些需要注意的附加設(shè)置:
將/boot設(shè)置為只讀
確保/boot文件夾默認(rèn)設(shè)置為 RW 模式,盡管僅用于讀取或加載模塊和內(nèi)核。使用以下命令來完成此操作。
/dev/sda1 /boot ext2 defaults ro 1 2
另外,在/etc/fstab文件中將/boot設(shè)置為只讀。
禁用從可移動(dòng)媒體啟動(dòng)
此設(shè)置是可選的,具體取決于您的服務(wù)器使用情況。要禁用從可移動(dòng)媒體啟動(dòng),您需要修改 bios 設(shè)置以禁用從可移動(dòng)媒體(如 U 盤)啟動(dòng)。
設(shè)置 GRUB 引導(dǎo)加載程序密碼
如果有人可以物理訪問服務(wù)器,他們就可以進(jìn)入它。攻擊者和服務(wù)器訪問之間的另一堵墻是在 GRUB 引導(dǎo)加載程序上設(shè)置密碼。您可以通過設(shè)置密碼來限制訪問來實(shí)現(xiàn)此目的。首先,備份當(dāng)前的grub.conf文件。
root@host ~# cp /etc/grub.conf /etc/grub.conf.bak
接下來,生成安全密碼。創(chuàng)建一個(gè)文件,然后使用grub-md5-crypt命令創(chuàng)建密碼。然后系統(tǒng)將提示您輸入密碼兩次。然后,將創(chuàng)建的密碼從安全文件復(fù)制到grub.conf文件中。
root@host ~# touch secure root@host ~# grub-md5-crypt > secure
在此之后,復(fù)制密碼并將其粘貼到grub.conf文件中第一行之后(在 RedHat 中),如下所示。然后,保存并退出文件。
splashimage=(hd0,0)/grub/splash.xpm.gz password --md5 JnK!xdBep53lt1NVk@K6wb!js%!HEI#^
您將需要重新啟動(dòng)服務(wù)器以使更改生效。
進(jìn)入單用戶模式前提示輸入根密碼
如果惡意行為者可以物理訪問服務(wù)器,則他們可以通過按e鍵從 GRUB 菜單項(xiàng)中選擇要引導(dǎo)到的特定內(nèi)核。此操作允許某人編輯第一個(gè)引導(dǎo)選項(xiàng)以啟用引導(dǎo)到單用戶模式而無需輸入密碼。
您的系統(tǒng)應(yīng)該配置為在進(jìn)入單用戶模式之前提示輸入 root 密碼,以限制可能的利用。按照設(shè)置 GRUB 引導(dǎo)加載程序密碼部分中概述的說明完成此任務(wù)。
最后的想法
安全是一個(gè)共同的問題。遵循這些服務(wù)器安全最佳實(shí)踐并與您的托管服務(wù)提供商合作。所有這些都為您的服務(wù)器環(huán)境提供了蓬勃發(fā)展所需的安全性。雖然本文有助于您結(jié)束安全交易,但尋找可靠的托管服務(wù)提供商是另一個(gè)挑戰(zhàn)。
美聯(lián)科技 Fen
美聯(lián)科技 Anny
美聯(lián)科技Zoe
美聯(lián)科技 Fre
美聯(lián)科技 Daisy
夢飛科技 Lily
美聯(lián)科技 Sunny
美聯(lián)科技 Vic