Web服務(wù)器安全是網(wǎng)絡(luò)托管提供商和服務(wù)器管理的一個(gè)關(guān)鍵方面����。在這里,小編將介紹提高Web服務(wù)器安全性的10個(gè)技巧����。
1、SSH使用公鑰認(rèn)證
刪除未加密的訪問(wèn)��。沒(méi)有人應(yīng)該再使用telnet、ftp 或 http 來(lái)管理服務(wù)器����。SSH、SFTP和https是公認(rèn)的標(biāo)準(zhǔn)�。為了獲得更好的安全性,完全擺脫SSH上的密碼身份驗(yàn)證��。相反��,請(qǐng)使用SSH密鑰����。每個(gè)用戶都有一個(gè)公鑰和一個(gè)私鑰,私鑰由用戶保管�,公鑰保存在服務(wù)器上。當(dāng)用戶嘗試登錄時(shí)���,SSH 確保公鑰與私鑰匹配����。一旦密碼登錄被禁用��,就沒(méi)有針對(duì)弱密碼的成功暴力攻擊的風(fēng)險(xiǎn)�。
2��、強(qiáng)密碼
安全加固的服務(wù)器對(duì)犯罪分子來(lái)說(shuō)是一個(gè)挑戰(zhàn)�,但我們會(huì)驚訝于有多少服務(wù)器管理員敞開前門����。人們——包括那些應(yīng)該更了解的人——傾向于選擇容易猜到的密碼。去年���,針對(duì)具有弱SSH密碼的服務(wù)器的暴力攻擊導(dǎo)致了大量的勒索軟件攻擊����。使用長(zhǎng)密碼和隨機(jī)密碼——長(zhǎng)密碼更好�,并最終限制具有登錄類型訪問(wèn)權(quán)限的用戶。
3����、安裝和配置CSF防火墻
CSF防火墻是一款功能豐富的免費(fèi)防火墻,可以保護(hù)服務(wù)器免受各種攻擊����。其功能包括狀態(tài)數(shù)據(jù)包檢查����、身份驗(yàn)證失敗率限制�、洪水保護(hù)��、目錄監(jiān)視和外部阻止列表的使用����。CSF是一個(gè)很棒的工具,并且比 iptables更容易管理���。
4���、安裝和配置 Fail2Ban
網(wǎng)絡(luò)上的每臺(tái)服務(wù)器都被尋找弱點(diǎn)的機(jī)器人所困擾。Fail2Ban會(huì)搜索我們服務(wù)器的日志以搜索指示惡意連接的模式����,例如太多失敗的身份驗(yàn)證嘗試或太多來(lái)自同一IP的連接。然后它可以阻止來(lái)自這些IP的連接并通知管理員帳戶����。
5、安裝惡意軟件掃描軟件
理想情況下��,我們希望將惡意人員拒之門外��,但如果他們確實(shí)設(shè)法破壞了服務(wù)器的安全性��,我們希望盡快了解情況。ClamAV是一款出色的Linux惡意軟件掃描工具���,而rkhunter可用于查找Rootkit�。結(jié)合起來(lái)��,他們很有可能會(huì)發(fā)現(xiàn)黑客可能在服務(wù)器上安裝的任何惡意軟件��。AIDE可用于在系統(tǒng)上生成文件哈希表��,然后每天比較文件的哈希計(jì)數(shù)以確認(rèn)沒(méi)有對(duì)系統(tǒng)關(guān)鍵文件進(jìn)行任何更改����。
6、保持軟件最新
過(guò)時(shí)的軟件可能包含黑客已知的安全漏洞����,我們至少應(yīng)該使用Linux 發(fā)行版的包管理器進(jìn)行更新。
7���、定期備份
我們可能不認(rèn)為備份是一種安全措施�,但我們保護(hù)服務(wù)器的主要原因是確保存儲(chǔ)在其上的數(shù)據(jù)安全�。不可能保證服務(wù)器永遠(yuǎn)不會(huì)受到損害����,因此數(shù)據(jù)應(yīng)該加密并備份到異地位置�。定期測(cè)試全面?zhèn)浞莸幕謴?fù)將消除勒索軟件攻擊��。
8�、監(jiān)控日志
日志是一個(gè)極其重要的安全工具。服務(wù)器收集了大量關(guān)于它做什么以及誰(shuí)連接到它的信息�。該數(shù)據(jù)中的模式通常會(huì)揭示惡意行為或安全漏洞。Logwatch是一個(gè)優(yōu)秀的日?��?偨Y(jié)工具���,可以分析、總結(jié)并生成關(guān)于您的服務(wù)器上發(fā)生的事情的報(bào)告���。Logsentry可用于每小時(shí)報(bào)告以更主動(dòng)地監(jiān)控入口�。
9���、關(guān)閉不必要的服務(wù)
應(yīng)禁用對(duì)服務(wù)器功能不重要的任何面向Internet的軟件����。服務(wù)器內(nèi)部環(huán)境與外界的接觸點(diǎn)越少越好���。大多數(shù)Linux發(fā)行版(包括CentOS和Ubuntu)都包含一個(gè)用于管理服務(wù)的工具�。
這也適用于Web服務(wù)器引擎本身,關(guān)閉不需要的模塊���,刪除不使用的語(yǔ)言模塊�,禁用Web服務(wù)器狀態(tài)和調(diào)試頁(yè)面����。您提供的有關(guān)底層基礎(chǔ)設(shè)施的信息越少,攻擊您的足跡就越小�。
10、安裝ModSecurity
ModSecurity是一種Web應(yīng)用程序防火墻——它運(yùn)行在比CSF防火墻更高的級(jí)別����,旨在處理針對(duì)應(yīng)用程序?qū)拥耐{。簡(jiǎn)而言之��,它阻止了針對(duì)Web應(yīng)用程序的多種類型的攻擊���,包括WordPress等內(nèi)容管理系統(tǒng)和Magento等電子商務(wù)商店���。ModSecurity曾經(jīng)是一個(gè)Apache模塊,但現(xiàn)在也可用于NGINX。
以上是提高Web服務(wù)器安全性的10個(gè)技巧介紹��,希望能幫助到大家參考��!
