在線業(yè)務(wù)的趨勢與日俱增,方便用戶通過在線支付無需訪問銀行即可在家門口購買服務(wù)或產(chǎn)品���。保護數(shù)據(jù)是最重要的���,因為黑客正在積極嘗試破壞機密和私人信息。在本文中���,您將了解這10個步驟�,讓你安全地設(shè)置服務(wù)器����。
以下細節(jié)可能因發(fā)行版而異,但相同的概念可用于任何風格的Linux����。一旦您完成了所有這些服務(wù)器配置,這意味著您已經(jīng)添加了針對常見攻擊的基本保護�。
1. 用戶配置
在服務(wù)器配置中執(zhí)行任何其他操作之前�����,更改 root 密碼是您需要做的基本事情。嘗試使用數(shù)字�、符號、大小寫字母組合的復雜密碼�。通過設(shè)置密碼策略來防止黑客攻擊�����,該策略指定使用本地帳戶的歷史記錄�、鎖定和復雜性要求,并確保您的密碼長度至少為 8 個字符��。完全禁用 root 用戶����,并為需要提升權(quán)限的用戶創(chuàng)建其他具有 sudo 訪問權(quán)限的非特權(quán)帳戶。
2. 網(wǎng)絡(luò)配置
您需要通過分配 IP 地址和主機名來啟用可能的網(wǎng)絡(luò)連接���。網(wǎng)絡(luò)服務(wù)器必須分配靜態(tài) IP 地址����,以便用戶始終可以在同一地址找到該網(wǎng)絡(luò)資源��。如果是 VLAN(虛擬局域網(wǎng))�,請考慮基本的事情,包括服務(wù)器網(wǎng)段的隔離程度以及它更適合的位置。如果您不使用 IPV6��,則無需將其打開�����。設(shè)置任何主機名����、域(如果沒有則注冊任何域名)和 DNS 服務(wù)器的信息。此外���,可以使用 多個DNS 服務(wù)器進行冗余���,并通過測試 nslookup 來檢查解析是否正常工作。
3. 包管理
設(shè)置服務(wù)器可能有任何特定目的�����,因此請確保您已安裝發(fā)行版中未包含的所需軟件包�����。有不同的最廣泛使用的應(yīng)用程序包�,包括 PHP����、NGINX�����、MongoDB 和其他支持包���,例如 pear。請記住���,刪除額外的包以縮小服務(wù)器占用空間��,因為您不需要保留它們以供進一步使用�。在不久的將來�,如果您需要獲得他們的特定服務(wù),那么您只需轉(zhuǎn)到您的發(fā)行版的包管理解決方案即可輕松地再次安裝它們��。
4.更新安裝和配置
現(xiàn)在����,您已經(jīng)在服務(wù)器上安裝了所需的軟件包,但請確保所有軟件包都已更新���。還必須使內(nèi)核和默認軟件包保持最新��。如果您需要舊版本�����,則可以使用��,但出于安全目的���,我建議您使用最新版本���。包管理器將提供有關(guān)最新支持版本的信息以及自動更新選項。
5.NTP配置
服務(wù)器設(shè)置或服務(wù)器配置一旦在所需安全級別的幫助下正確完成����,將幫助您以最小的風險因素讓您高枕無憂。NTP 服務(wù)器可以是可供所有人使用的內(nèi)部或外部時間服務(wù)器����。為什么防止時鐘漂移更重要,因為它可能會導致許多問題�����,例如身份驗證問題,因為在授予訪問權(quán)限之前測量計算機(服務(wù)器)和身份驗證基礎(chǔ)設(shè)施之間的時間偏差���。因此����,必須防止時鐘偏差問題才能正常工作�����。
6. 防火墻和 iptables
在這個數(shù)字世界中�,必須實施所需的安全級別��。一旦被黑客入侵��,就不可能再次獲得客戶的信任并再次穩(wěn)定業(yè)務(wù)�。根據(jù)分發(fā)類型,iptables 可能被鎖定或要求您打開所需的內(nèi)容�,但不要將其保留為默認值。根據(jù)您的特定需要更改服務(wù)器的配置�,并始終使用最小權(quán)限原則。
只打開那些對于不同服務(wù)的工作高度需要和強制的端口�����。這是使用服務(wù)器后面的專用防火墻并確保您的 iptables/firewall 默認為限制性的好方法。
7. 保護 SSH
它與 Windows 操作系統(tǒng)中使用的命令行界面相同�。SSH 是 Linux 發(fā)行版的訪問方法,用于執(zhí)行管理級別的操作����。禁用 root 遠程 SSH 的能力,這樣如果在服務(wù)器計算機上啟用了 root�����,那么它將無法遠程利用���。
8. 守護程序配置
現(xiàn)在����,您已經(jīng)配置了服務(wù)器���,但還需要實施一些事情以提高安全性�。設(shè)置正確的應(yīng)用程序以在重新啟動時自動啟動并關(guān)閉不使用的守護程序�����。這是一種減少活動足跡的主動方法�,以便只有應(yīng)用程序所需的表面區(qū)域可用于攻擊�����。完成此任務(wù)后�,盡量加固其他剩余服務(wù)�,享受最高級別的安全性和彈性。
9. SELinux 和進一步強化
ELinux(Security-Enhanced Linux)是一種內(nèi)核強化工具或安全架構(gòu)�,用于保護服務(wù)器機器免受不同操作的影響,并允許管理員更好地控制誰可以訪問���。
基于 Linux 的發(fā)行版上的 MAC(強制訪問控制)�。它是一個很好的工具����,用于保護對系統(tǒng)資源的未經(jīng)授權(quán)的訪問����。建議在啟用 SELinux 的幫助下測試您的配置,以便您可以確保在日志的幫助下沒有阻止任何合法的東西���。您還可以檢查強化其他應(yīng)用程序(如 MySQL��、Apache 等)的不同方法��。
10. 記錄
在最后階段�����,確保您所需的日志記錄級別已啟用或未啟用����,并且您有足夠的資源。如果你已經(jīng)建立了一個日志結(jié)構(gòu)���,那么在短時間內(nèi)解決問題對你來說會更有用?�,F(xiàn)在����,對服務(wù)器進行故障排除以獲取更多信息或轉(zhuǎn)到具有可配置日志結(jié)構(gòu)的軟件以了解數(shù)據(jù)不足和信息過多之間的平衡�。此外,還有第三方工具可幫助您從聚合到可視化���,但必須了解每個環(huán)境的需求�。然后����,您可以選擇正確的工具或工具集來正確填充它們����。
總之���,如果您的服務(wù)器是攻擊的目標�,則能采取以上10個服務(wù)器配置步驟�,不給任何黑客提供機會。
