網(wǎng)絡(luò)攻擊者總是在尋找可以在服務(wù)器上利用的漏洞。作為服務(wù)器管理員，您有責(zé)任確保您已關(guān)閉所有可能的漏洞并且您的數(shù)據(jù)是安全的。您需要通過實施您認(rèn)為“必要”的正確措施、技巧和實踐來最大程度地降低風(fēng)險并確信您的數(shù)據(jù)是安全的。

因此，我們在這里提供了 8 個基本技巧，可幫助您保護Web 服務(wù)器上的數(shù)據(jù)。我們已盡力使我們的技巧盡可能扎實和必要。一旦您閱讀并實施了本文中提到的所有內(nèi)容，我們將返回另一篇博客，但會提供更高級的技巧。

1. 使用安全連接保護您的服務(wù)器

您是否使用開放網(wǎng)絡(luò)連接到遠(yuǎn)程服務(wù)器？你不應(yīng)該。當(dāng)嘗試連接到遠(yuǎn)程服務(wù)器時，您應(yīng)該在該位置建立安全連接，因為數(shù)據(jù)包可能會偏離其他地方。這可能會危及您的隱私和安全。

使用安全外殼協(xié)議 (SSH) 將幫助您建立安全且受保護的連接，并且與舊的 Telnet 不同，SSH 將加密交換中的所有數(shù)據(jù)。

如果您想知道我們所說的加密是什么意思，這里有一些值得您花時間的東西 –

想象一下，您向朋友“Alex”發(fā)送“hello”。現(xiàn)在，請考慮您的 Messenger 未配置安全連接。然后服務(wù)器將您的消息轉(zhuǎn)換成二進制等價物，并將它們直接發(fā)送到接收者的收件箱。

如果有人以某種方式利用了連接，他會很容易地閱讀您的消息。現(xiàn)在，您可能想知道如果接收者以外的其他人閱讀一個簡單的“你好”會造成什么損害。真的！但你并不總是發(fā)送“你好”。我們生活在網(wǎng)絡(luò)世界中，您可能不會只是隨機發(fā)送“嗨”和“你好”。如果是您的銀行密碼怎么辦？

因此，加密是必不可少的。加密只是意味著使用算法將給定數(shù)據(jù)轉(zhuǎn)換為一組隨機字符，使其不可讀且無法被黑客讀取。因此，“hello”可以被加密為“ uwsg7ite46erghkjhbklh#45424&*^%$$ ”。除非你知道解密算法，否則無論你怎么努力都看不懂，前提是你不是阿爾伯特·愛因斯坦或智商超過 160 的人。

2. 使用專用網(wǎng)絡(luò)和 VPN 保護 Web 服務(wù)器

您過去可能使用過 VPN，也許是為了訪問您當(dāng)?shù)胤山沟木W(wǎng)站上的某些內(nèi)容。與所有活動都可見的開放網(wǎng)絡(luò)不同，私有網(wǎng)絡(luò)既不能被跟蹤也不能被訪問。這會降低您網(wǎng)絡(luò)上的風(fēng)險，因為人們再也看不到您了。它就像存在于互聯(lián)網(wǎng)上，但沒有足跡。

專用網(wǎng)絡(luò)使用專用（與開放相反）IP 在服務(wù)器之間建立隔離的通信通道。這允許服務(wù)器通過相同的通道交換信息，而不會將數(shù)據(jù)包暴露給公眾。當(dāng)你想使用私有 IP 連接到 Web 服務(wù)器時，需要與服務(wù)器建立連接。只有建立此連接后，您才能交換機密信息。請注意，在成功建立連接之前，來自您 IP 的所有活動都是可見的。

3. 制定嚴(yán)格的密碼規(guī)則

我們都知道如何設(shè)置密碼——保持最少 8 個字符，使用大寫字母、特殊字符和數(shù)字，同時盡可能保持無差別。您可以設(shè)置自己的密碼規(guī)則，服務(wù)器上的所有用戶都必須遵守該規(guī)則。您可以將所需的最少字符數(shù)更改為 10（可能），并將其與更嚴(yán)格的規(guī)則相結(jié)合，使您的密碼無法破解。

如果您有鎖定政策，它將對您有所幫助。注銷在其終端上有一段時間不活動的用戶。部署強大的加密——反向加密就像躲避攻擊一樣。應(yīng)該不允許使用默認(rèn)密碼；強制在每臺計算機上設(shè)置密碼。

4. 設(shè)置密碼過期政策

除非絕對必要，否則用戶不會總是更改密碼。設(shè)置密碼到期時間，并在到期前一周提示用戶修改密碼。根據(jù)所需的安全級別，密碼可以持續(xù)一周到一個月之間的任何時間。我們已經(jīng)看到人們每隔一天更改一次密碼，但如果您存儲的數(shù)據(jù)不夠重要，則并非絕對必要。

5. 設(shè)置和維護防火墻

防火墻可幫助您控制和限制對系統(tǒng)的訪問。它通過監(jiān)視傳入和傳出系統(tǒng)的流量來實現(xiàn)。如果任何活動看起來可疑，防火墻將阻止訪問并立即終止連接。CSF 和防火墻 對于創(chuàng)建嚴(yán)格的安全規(guī)則以允許和禁止網(wǎng)絡(luò)上的某些活動至關(guān)重要。它只允許特定的連接，同時鎖定所有不必要的虛假服務(wù)訪問。您可以設(shè)置硬件和軟件啟用的防火墻。通過控制和限制對系統(tǒng)的訪問來保護您的服務(wù)器。

使用 CSF（ConfigServer 和防火墻）對于加強網(wǎng)絡(luò)安全至關(guān)重要。它只允許特定的重要連接，鎖定對其他服務(wù)的訪問。在初始 Web 服務(wù)器設(shè)置期間或在更改服務(wù)器提供的服務(wù)時設(shè)置防火墻。請注意，防火墻默認(rèn)允許一些服務(wù)，因此在將服務(wù)器連接到網(wǎng)絡(luò)之前檢查防火墻設(shè)置。

6. 用戶私人服務(wù)器和服務(wù)

您在共享托管服務(wù)器上（讓我們假設(shè)一下）。您服務(wù)器上的活動對您的主機可見，也可能對其他網(wǎng)站可見。共享服務(wù)器提供沒有固定分區(qū)的單一空間，網(wǎng)站有點擠在那個空間里。然而，一些優(yōu)質(zhì)主機的共享服務(wù)器可與VPS 相媲美，但情況并非總是如此。

如果安全和隱私對您的組織至關(guān)重要，您應(yīng)該始終托管私人服務(wù)器——最好是專用托管。如果您可以將服務(wù)器并置到最近的數(shù)據(jù)中心，那就去做吧。從長遠(yuǎn)來看，托管服務(wù)可以節(jié)省大量資金，并且是您在專用服務(wù)器上找到的最安全的服務(wù)。

7. 刪除或關(guān)閉所有不必要的服務(wù)

如果有十扇門通向一間公寓，您需要確保所有十扇門都安全。如果數(shù)量較少，則需要確保更少的門。這個想法是，網(wǎng)絡(luò)向量越少，您就可以更多地關(guān)注安全性。您可以刪除或關(guān)閉服務(wù)器上所有不必要的服務(wù)，從而減少受到攻擊的機會，因為您需要保護的端口更少。

大多數(shù) Linux 發(fā)行版都在 Internet 上尋找傳入連接，因此您應(yīng)該以僅允許特定端口并在出現(xiàn)提示時拒絕不必要的通信的方式配置防火墻。檢查您的軟件是否依賴于其他關(guān)鍵系統(tǒng)組件。您也需要保護這些組件。當(dāng)受到攻擊時，漏洞會首先侵入這些組件，然后再侵入用戶帳戶。

8. 管理用戶

每個服務(wù)器都有一個 root 用戶，可以不受限制地控制系統(tǒng)。根用戶是您服務(wù)器的強大力量。它們使整個網(wǎng)絡(luò)保持運行并管理與服務(wù)器相關(guān)的所有復(fù)雜性。

由于權(quán)限較大，您需要格外小心，以免 root 登錄落入壞人之手。這對您的服務(wù)器來說可能是毀滅性的。禁用 root 登錄并且僅在出現(xiàn)提示時才無法登錄是一種普遍的做法。為確保只有授權(quán)人員才能登錄，請創(chuàng)建一個受限用戶帳戶。此帳戶沒有與 root 用戶相同的權(quán)限，但具有足夠的訪問權(quán)限來解決所有問題。