了解可以保護您服務(wù)器的關(guān)鍵實踐

互聯(lián)網(wǎng)時代的到來對企業(yè)的經(jīng)營方式產(chǎn)生了深遠的影響。對于大多數(shù)想要保持相關(guān)性和競爭力的公司而言，維持在線形象不再是可有可無的選擇?，F(xiàn)有和潛在客戶使用 Internet 進行購買、管理他們的帳戶、研究產(chǎn)品等等。這樣做的好處是無法估量的，但它也有陰暗面——黑客。由于您的網(wǎng)站和在線聲譽受到如此多的影響，確保服務(wù)器安全絕對至關(guān)重要。

安全專業(yè)人員將他們的整個職業(yè)生涯都投入到跟上在線威脅不斷變化的本質(zhì)，而全球公司擁有擁有大量資源的整個團隊，致力于確保其在線財產(chǎn)的安全。承擔保護服務(wù)器的繁重工作似乎是一項艱巨的任務(wù)，但我們隨時為您提供幫助！我們已經(jīng)確定了一些關(guān)鍵做法，可以充分保護您的服務(wù)器以抵御絕大多數(shù)攻擊并阻止除最精英黑客之外的所有黑客。使用這些方法保護您的服務(wù)器不需要大量的系統(tǒng)管理能力，但如果您愿意將其交給我們有能力的人， 請查看我們的管理計劃和SecureServer+服務(wù)。

躲在防火墻后面

任何安全環(huán)境的第一道防線都是防火墻。有多種防火墻可供選擇，但它們通常都具有相同的基本功能。防火墻是駐留在 Internet 和服務(wù)器上任何面向網(wǎng)絡(luò)的服務(wù)之間的應(yīng)用程序或物理設(shè)備。它充當網(wǎng)絡(luò)流量的看門人，使用一組規(guī)則來過濾入站和出站連接。但是，防火墻的好壞取決于它所使用的規(guī)則。一個配置良好的防火墻可以過濾掉絕大多數(shù)惡意連接，而配置不當?shù)姆阑饓t效果會差很多。

第一個決定是硬件還是軟件。大多數(shù)現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的軟件防火墻應(yīng)用程序，這通常就足夠了。專用設(shè)備，也稱為硬件防火墻，通常用在多服務(wù)器環(huán)境前面，為防火墻管理提供單點。

無論您最終使用哪種類型的防火墻，下一步都是定義一套好的規(guī)則。配置防火墻時的第 1 條規(guī)則，尤其是遠程配置時，要非常小心，不要通過阻止用于訪問防火墻的連接來將自己鎖在門外。如果您不小心阻止了自己的連接——通常是物理控制臺或帶外控制臺解決方案，如 IPMI、ILO 或 DRAC，最好使用后備訪問方法來更改防火墻規(guī)則。

首先考慮您的服務(wù)器提供的服務(wù)。網(wǎng)絡(luò)服務(wù)利用特定端口來幫助區(qū)分連接類型。將它們想象成一條非常寬的高速公路上的車道，帶有分隔線以防止改變車道。例如，網(wǎng)絡(luò)服務(wù)器通常使用端口 80 進行標準連接，使用端口 443 進行使用 SSL 證書保護的連接。這些服務(wù)可以配置為使用非標準端口，因此請務(wù)必驗證您的服務(wù)正在使用哪些端口。

接下來，確定您將如何遠程管理您的服務(wù)器。在 Windows 上，這通常是通過 RDP（遠程桌面協(xié)議）完成的，而在 Linux 上，您可能會使用 SSH（安全外殼）。理想情況下，您將希望阻止對用于管理的端口的訪問，除了少數(shù) IP 或一個小型子網(wǎng)之外的所有端口，以限制不在您組織內(nèi)的任何人對這些協(xié)議的訪問。例如，如果您是 Linux 服務(wù)器的唯一管理員，請打開 SSH 端口（通常為 22）以僅從您計算機的靜態(tài) IP 地址進行連接。如果您沒有靜態(tài) IP 地址，您通?？梢源_定一個子網(wǎng)，您將從中分配一個 IP。雖然將一系列 IP 列入白名單并不理想，但這比向整個 Internet 開放該端口要好得多。

要生成一套可靠的規(guī)則，請阻止來自所有 IP 的所有端口，然后創(chuàng)建特定規(guī)則以打開您的服務(wù)和管理所需的那些端口——記住不要將自己鎖在外面。為您的服務(wù)開放的端口通常應(yīng)該從所有 IP 開放，但如上所述限制管理端口。

雖然防火墻不應(yīng)該是您唯一的防線，但創(chuàng)建一套合理的防火墻規(guī)則是增強服務(wù)器安全性的一個很好的起點。事實上，任何服務(wù)器都不應(yīng)沒有至少基本的防火墻配置。

身份驗證和密碼

增強服務(wù)器安全性的最簡單方法之一就是實施強身份驗證策略。您的服務(wù)器僅與密碼最弱的帳戶一樣安全。對于服務(wù)器上使用的任何密碼，請遵循良好的密碼指南，例如確保您的密碼長度足夠，而不是字典中的單詞，并且不要用于其他本身可能會受到威脅并泄露您的密碼的服務(wù)。雖然您可以通過良好的防火墻配置限制對服務(wù)器的遠程訪問，但仍然存在可用于通過在開放網(wǎng)絡(luò)端口上運行的受損或未修補服務(wù)向系統(tǒng)發(fā)送命令的漏洞。

在許多情況下，完全無密碼是可能的（而且更方便）！如果您訪問服務(wù)器的主要方法是通過 SSH，您可以在服務(wù)器的 SSH 配置文件中禁用密碼驗證，而是使用一對公鑰和私鑰來授權(quán)您的連接。

請記住，如果您需要能夠隨時從任何地方登錄到您的服務(wù)器，則此方法可能不那么方便，因為您需要將您的私鑰添加到您連接的任何新系統(tǒng)。此外，雖然這種方法使遠程連接的安全性提高了一個數(shù)量級，但不要忘記為您的帳戶設(shè)置一個強密碼。黑客有時可以通過其他方式訪問系統(tǒng)，您不希望擁有一個由密碼（如“1234”）保護的提升訪問權(quán)限的帳戶。

如今，雙因素身份驗證 (2FA) 變得非常流行。使用 2FA 時，用戶不僅需要使用密碼進行身份驗證，還需要提供發(fā)送到先前注冊的電子郵件地址或移動設(shè)備的一次性代碼，以進一步驗證其身份?？梢酝ㄟ^第三方服務(wù)或使用支持 2FA 的帳戶（如 Google 或 Microsoft）在您的服務(wù)器上實現(xiàn)類似的功能。cPanel\WHM 現(xiàn)在支持雙因素身份驗證，因此如果您使用此控制面板作為服務(wù)器管理的主要方式，這可能是您的一個選擇。

蠻力保護

服務(wù)器上的常見攻擊向量是暴力攻擊。這些是使用猜測的用戶名和密碼進行的遠程登錄嘗試，在服務(wù)器和網(wǎng)絡(luò)允許的范圍內(nèi)一遍又一遍地重復(fù)。在不受保護的情況下，每天可能會進行數(shù)十萬次嘗試——足以在一個月內(nèi)破解任何 8 個字符的密碼。出于這個原因，謹慎的做法是在您的服務(wù)器上安裝某種形式的暴力破解保護。

大多數(shù)暴力保護方法都采用兩種形式之一。第一種方法在登錄嘗試之間引入超時。即使此超時時間短至一秒，這也會導(dǎo)致攻擊花費多倍的時間來破解密碼。您可能希望更長的超時時間以提供更好的安全性，同時又不會過度干擾拼寫錯誤的用戶的合法登錄嘗試。一些系統(tǒng)通過增加每次失敗嘗試的超時時間來采用這種方法，通常是指數(shù)級的。失敗一次，等待1秒。再次失敗，等待 5 秒。第三次失敗，等待 30 秒……到第四次嘗試時，您將非常小心地輸入密碼。

或者，此方法的一種變體對設(shè)定時間段內(nèi)允許的嘗試次數(shù)設(shè)置了硬性上限。登錄失敗次數(shù)過多將導(dǎo)致帳戶被鎖定——或者是暫時的，或者在更極端的情況下，直到被服務(wù)器管理員解鎖。這種方法有效地阻止了任何暴力攻擊，但對于不太小心輸入密碼的有效用戶來說，它可能會更加煩人。

第二種方法是在登錄請求中引入驗證碼。這迫使用戶執(zhí)行一項對人類來說微不足道但對計算機來說卻很困難的壯舉。通常，這涉及某種圖像識別，例如識別包含路燈的網(wǎng)格中的所有圖片，或破譯一些用模糊字體書寫的文本。雖然計算機通常最終能夠解決這些請求，但它們花費的時間比一般人類要長得多，并且大大減慢了攻擊速度。驗證碼還經(jīng)常用于保護公眾評論部分免受垃圾郵件帖子和注冊表單的侵害。

暴力破解保護可以在許多防火墻或操作系統(tǒng)本身中找到——但不要忘記其他帳戶，例如 WordPress、cPanel/WHM 等。確保任何暴露的登錄都啟用了某種形式的暴力破解保護。

軟件更新和安全補丁

軟件和操作系統(tǒng)更新以及安全補丁對于維護安全服務(wù)器也很重要。如果您運行的是易受已知漏洞利用的過時操作系統(tǒng)版本，那么您所有其他的努力都將毫無意義并完全付諸東流。

大多數(shù)軟件和操作系統(tǒng)供應(yīng)商都投入了大量資源來為他們的產(chǎn)品打補丁以應(yīng)對最近發(fā)現(xiàn)的漏洞，以至于許多次要版本包含的安全修復(fù)程序多于功能更新。對其產(chǎn)品的舊版本保持這種警惕性可能代價高昂，因此軟件和操作系統(tǒng)在多年后經(jīng)常被歸類為生命周期結(jié)束 (EOL)。除其他事項外，這意味著該產(chǎn)品將不再接收在達到 EOL 后可能發(fā)現(xiàn)的漏洞的更新。

這種類型的常見案例與 PHP 相關(guān)，PHP 是 Web 上常用的一種腳本語言。在本文發(fā)布之時，所有早于 7.2 的 PHP 版本都已停產(chǎn)。盡管如此，PHP 5.3 的舊版本仍然很普遍。7.2 和 5.3 之間存在顯著差異，如果不對代碼進行重大修改，就不可能升級到受支持的版本。

幸運的是，通過這個特定的 PHP 版本示例，CloudLinux 已經(jīng)讓您了解了cPanel 服務(wù)器。CloudLinux 提供舊 PHP 版本的強化版本，以及安全更新，遠遠超過 EOL 日期。然而，這個問題可能發(fā)生在任何軟件上，而且大多數(shù)沒有像 CloudLinux 這樣簡單的解決方案。

運行過時的操作系統(tǒng)也不是好的做法。例如，CentOS 5 已經(jīng)停產(chǎn)一段時間了，但這并不是一個非常罕見的景象。如果您碰巧正在運行這樣的東西，您應(yīng)該盡快規(guī)劃您的升級路徑。當您運行的操作系統(tǒng)進入 EOL 時，即使您的服務(wù)器上受支持的軟件也將停止接收更新，這是很常見的，因為供應(yīng)商不會在 EOL OS 版本上提供新版本。這會對您的服務(wù)器的安全產(chǎn)生級聯(lián)的負面影響。

代碼和自定義應(yīng)用程序

不幸的是，即使是最堅固的服務(wù)器仍然容易受到網(wǎng)站上運行的不安全代碼或應(yīng)用程序的攻擊。

如果您正在運行可自定義的 Web 應(yīng)用程序，例如 WordPress、Joomla 或 Magento，那么不僅要使核心應(yīng)用程序保持最新，而且還要使所有插件或主題保持最新，這一點至關(guān)重要。這也適用于項目本身的代碼——如果您懷疑您的主題或插件“死了”并且不再更新，尋找替代品是明智的。新的漏洞不斷被發(fā)現(xiàn)，應(yīng)用程序或插件只有在上次更新時才安全。

在處理開發(fā)人員為您創(chuàng)建的自定義代碼時，明智的做法是與您的開發(fā)人員保持持續(xù)的關(guān)系，以便您可以繼續(xù)接收更新。否則，您可能會遇到上述情況，您發(fā)現(xiàn)無法再更新您的 PHP 或其他重要軟件，因為該網(wǎng)站與新版本不兼容。

這種攻擊向量可能是最難防御的，因為您的數(shù)據(jù)中心或托管服務(wù)提供商通常不支持在您的服務(wù)器上運行的自定義軟件和代碼。除非您運行的是完全現(xiàn)成的軟件，否則請確保您有一個計劃來更新和修補您的代碼。

如您所見，保護服務(wù)器遠遠超出了初始設(shè)置的范圍。雖然這很重要，但同樣重要的是保持它是最新的，以對抗不斷增長的已知黑客和漏洞利用列表。系統(tǒng)受損可能造成巨大的經(jīng)濟損失和聲譽損失。正如一句古老的格言所說，一盎司的預(yù)防勝過一磅的治療。

網(wǎng)頁題目：了解可以保護您服務(wù)器的關(guān)鍵實踐
網(wǎng)頁地址：http://www.bm7419.com/news8/319508.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、手機網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、做網(wǎng)站、微信小程序、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)