如何保護(hù)你的Linux服務(wù)器

服務(wù)器安全描述了用于保護(hù)企業(yè)服務(wù)器免受未經(jīng)授權(quán)的訪問和其他網(wǎng)絡(luò)威脅的軟件、工具和流程。這是大多數(shù)系統(tǒng)管理員和網(wǎng)絡(luò)安全團(tuán)隊(duì)的關(guān)鍵要求。 基于操作系統(tǒng)強(qiáng)大的默認(rèn)權(quán)限結(jié)構(gòu)，Linux 的安全性被認(rèn)為是好的。但是，您仍然必須采用最佳實(shí)踐來保持服務(wù)器安全有效地運(yùn)行。無論您的 Linux 服務(wù)器運(yùn)行的是 Ubuntu、Debian 還是其他發(fā)行版，請按照以下步驟來加強(qiáng)您的 Linux 服務(wù)器的默認(rèn)配置。

1.只安裝需要的包

您應(yīng)該只安裝您的業(yè)務(wù)需要運(yùn)行的軟件包，以保護(hù)您的服務(wù)器的功能。Linux 服務(wù)器發(fā)行版已經(jīng)安裝了各種常用的軟件包，例如 adduser 和 base-passwd。在安裝過程中，用戶可以選擇安裝其他軟件包，包括 Open SSH 服務(wù)器、DNS 服務(wù)器、LAMP 堆棧和打印服務(wù)器。

您還可以通過默認(rèn)的包管理系統(tǒng)添加更多包。軟件包可以從官方存儲(chǔ)庫中提取，也可以通過添加 PPA（個(gè)人軟件包檔案）（由 Linux 用戶創(chuàng)建的存儲(chǔ)庫）來訪問更廣泛的程序選擇。

但是，您安裝的軟件包越多，尤其是來自第三方存儲(chǔ)庫的軟件包，您可能會(huì)在系統(tǒng)中引入更多漏洞。將已安裝的軟件包保持在合理的最低限度，并定期消除不需要的軟件包。

2.禁用root登錄

Linux 發(fā)行版包括一個(gè)名為“root”的超級用戶，其中包含提升的管理權(quán)限。啟用 root 登錄可能會(huì)帶來安全風(fēng)險(xiǎn)并降低托管在服務(wù)器上的小型企業(yè)云資源的安全性，因?yàn)楹诳涂梢岳么藨{據(jù)訪問服務(wù)器。為了加強(qiáng)您的服務(wù)器安全，您必須禁用此登錄。

禁用 root 帳戶的過程取決于您使用的 Linux 發(fā)行版 - 您必須首先創(chuàng)建一個(gè)新用戶帳戶并分配提升的 (sudo) 權(quán)限，這樣您仍然可以安裝軟件包和執(zhí)行其他管理操作在服務(wù)器上。或者，您可以將這些權(quán)限分配給現(xiàn)有用戶，以確保安全的服務(wù)器登錄。

3.配置2FA

雙因素身份驗(yàn)證(2FA) 在用戶登錄服務(wù)器之前需要密碼和第二個(gè)令牌，從而極大地提高了用戶訪問的安全性。

要在 Debian 服務(wù)器和 Debian 派生發(fā)行版上設(shè)置 2FA，您應(yīng)該安裝 libpam-google-authenticator 軟件包。該軟件包可以顯示二維碼或生成可添加到軟件身份驗(yàn)證設(shè)備（例如 Google Authenticator 或 Authy）的秘密令牌。

2FA 可以與 SSH（安全外殼）結(jié)合使用，以在登錄服務(wù)器時(shí)強(qiáng)制要求第二個(gè)憑據(jù)。SSH 是一種創(chuàng)建與遠(yuǎn)程服務(wù)器的基于文本的加密連接的協(xié)議?？傊@些使服務(wù)器更能抵抗暴力破解和未經(jīng)授權(quán)的登錄嘗試，并可以提高小型企業(yè)的云安全性。

4. 執(zhí)行良好的密碼衛(wèi)生

良好的密碼衛(wèi)生不僅與登錄其個(gè)人計(jì)算機(jī)或 SaaS 應(yīng)用程序的用戶有關(guān)。對于服務(wù)器，管理員還需要確保用戶使用足夠嚴(yán)格的密碼。這種做法使他們更能抵抗攻擊。

強(qiáng)制執(zhí)行最小加密強(qiáng)度

您的員工使用的密碼應(yīng)高于一定的加密強(qiáng)度，例如，至少 12 個(gè)字符，字母、數(shù)字和符號的隨機(jī)組合。要在您的企業(yè)中強(qiáng)制執(zhí)行此操作，請考慮實(shí)施一種密碼管理工具，該工具可以驗(yàn)證密碼的安全級別或生成足夠復(fù)雜的密碼。

強(qiáng)制執(zhí)行定期密碼輪換

確保您的員工定期更新所有應(yīng)用程序和登錄密碼，尤其是那些具有管理服務(wù)器訪問權(quán)限的密碼。默認(rèn)情況下，大多數(shù) Linux 發(fā)行版都包含一個(gè)用于修改密碼到期和老化信息的實(shí)用程序。該程序可以強(qiáng)制用戶定期重置密碼。Chage 就是這樣一種 CLI（命令行界面）。

管理員可以強(qiáng)制用戶在一定天數(shù)后更改密碼，例如，使用 -W 運(yùn)算符：

改變 -W 10 丹尼爾

從提升的權(quán)限運(yùn)行，此命令將強(qiáng)制用戶 'daniel' 在 10 天后更改其密碼。強(qiáng)制密碼更改也可以在洗澡或登錄事件時(shí)強(qiáng)制執(zhí)行。

5.服務(wù)器端殺毒軟件

雖然 Linux 計(jì)算機(jī)被認(rèn)為對病毒、惡意軟件和其他形式的網(wǎng)絡(luò)攻擊具有相對抵抗力，但所有 Linux 端點(diǎn)（包括臺(tái)式機(jī)）都應(yīng)該運(yùn)行防病毒保護(hù)。防病毒產(chǎn)品將增強(qiáng)其運(yùn)行的任何服務(wù)器的防御能力。Avast Business的下一代 Linux 服務(wù)器防病毒軟件支持 32 位和 64 位硬件，并具有通過 CLI 啟動(dòng)的按需掃描功能。

6.定期或自動(dòng)更新

你不應(yīng)該持有舊的、未打補(bǔ)丁的軟件包，因?yàn)樗鼈儠?huì)給系統(tǒng)帶來可能被網(wǎng)絡(luò)犯罪分子利用的嚴(yán)重漏洞。為避免此問題，請確保您的服務(wù)器或服務(wù)器池定期更新。

許多 Linux 發(fā)行版，尤其是 Ubuntu，也在滾動(dòng)發(fā)行周期中更新，包括長期 (LTS) 和短期發(fā)行版本。您的安全團(tuán)隊(duì)?wèi)?yīng)該從一開始就考慮他們是否希望在他們的機(jī)器上運(yùn)行最先進(jìn)或穩(wěn)定的軟件，并配置適當(dāng)?shù)母虏呗浴?/p>

此外，許多 Linux 發(fā)行版包含用于應(yīng)用自動(dòng)更新的工具。例如，可用于 Debian 的 unattended-upgrades 軟件包將以固定的時(shí)間間隔輪詢更新并在后臺(tái)自動(dòng)應(yīng)用它們。

7.啟用防火墻

每臺(tái) Linux 服務(wù)器都應(yīng)該運(yùn)行防火墻作為抵御未經(jīng)授權(quán)或惡意連接請求的初始防線。UFW（簡單防火墻）是一種常見的基本 Linux 防火墻。您應(yīng)該檢查防火墻策略以確保它對您的業(yè)務(wù)操作環(huán)境有意義。

如今，分布式拒絕服務(wù)(DDoS) 攻擊也對一些運(yùn)營商構(gòu)成威脅。面向 Internet 的 Linux 服務(wù)器可以放置在代理服務(wù)之后，以檢查和清理入站流量，從而提供 DDoS 保護(hù)。此外，還有一些可以直接安裝到服務(wù)器上的開源腳本。

8. 備份你的服務(wù)器

當(dāng)涉及到計(jì)算機(jī)系統(tǒng)時(shí)，總會(huì)有一些事情可能出錯(cuò)，并且包可能會(huì)產(chǎn)生依賴性問題和其他問題。因此，保留將更改回滾到服務(wù)器的能力至關(guān)重要。

一個(gè)強(qiáng)大的備份方法應(yīng)該包括為每個(gè)主要受保護(hù)設(shè)備創(chuàng)建兩個(gè)副本，一個(gè)異地副本。更簡單的系統(tǒng)回滾工具可用于 Linux 服務(wù)器，可以幫助自動(dòng)化此過程并允許更快的災(zāi)難恢復(fù) (DR)。

牢記安全

Linux 可能是您的小型企業(yè)或企業(yè)的最佳服務(wù)器，因?yàn)榘l(fā)行版通常具有自動(dòng)配置的良好安全狀態(tài)。但是，為了顯著提高防御能力并大限度地減少惡意用戶獲得訪問權(quán)限的機(jī)會(huì)，您必須通過應(yīng)用最佳實(shí)踐技巧來強(qiáng)化 Linux 服務(wù)器。使用服務(wù)器端防病毒工具（例如 Avast Business Linux Antivirus）應(yīng)該始終是多層安全策略的一部分。

分享文章：如何保護(hù)你的Linux服務(wù)器
文章源于：http://bm7419.com/news31/324881.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、微信小程序、響應(yīng)式網(wǎng)站、營銷型網(wǎng)站建設(shè)、全網(wǎng)營銷推廣、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)