2024-02-29 分類: 網(wǎng)站建設(shè)
互聯(lián)網(wǎng)時代的到來對企業(yè)的經(jīng)營方式產(chǎn)生了深遠(yuǎn)的影響。對于大多數(shù)想要保持相關(guān)性和競爭力的公司而言,維持在線形象不再是可有可無的選擇?,F(xiàn)有和潛在客戶使用 Internet 進(jìn)行購買、管理他們的帳戶、研究產(chǎn)品等等。這樣做的好處是無法估量的,但它也有陰暗面——黑客。由于您的網(wǎng)站和在線聲譽(yù)受到如此多的影響,確保服務(wù)器安全絕對至關(guān)重要。
安全專業(yè)人員將他們的整個職業(yè)生涯都投入到跟上在線威脅不斷變化的本質(zhì),而全球公司擁有擁有大量資源的整個團(tuán)隊(duì),致力于確保其在線財產(chǎn)的安全。承擔(dān)保護(hù)服務(wù)器的繁重工作似乎是一項(xiàng)艱巨的任務(wù),但我們隨時為您提供幫助!我們已經(jīng)確定了一些關(guān)鍵做法,可以充分保護(hù)您的服務(wù)器以抵御絕大多數(shù)攻擊并阻止除最精英黑客之外的所有黑客。使用這些方法保護(hù)您的服務(wù)器不需要大量的系統(tǒng)管理能力,但如果您愿意將其交給我們有能力的人, 請查看我們的管理計劃和SecureServer+服務(wù)。
躲在防火墻后面
任何安全環(huán)境的第一道防線都是防火墻。有多種防火墻可供選擇,但它們通常都具有相同的基本功能。防火墻是駐留在 Internet 和服務(wù)器上任何面向網(wǎng)絡(luò)的服務(wù)之間的應(yīng)用程序或物理設(shè)備。它充當(dāng)網(wǎng)絡(luò)流量的看門人,使用一組規(guī)則來過濾入站和出站連接。但是,防火墻的好壞取決于它所使用的規(guī)則。一個配置良好的防火墻可以過濾掉絕大多數(shù)惡意連接,而配置不當(dāng)?shù)姆阑饓t效果會差很多。
第一個決定是硬件還是軟件。大多數(shù)現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的軟件防火墻應(yīng)用程序,這通常就足夠了。專用設(shè)備,也稱為硬件防火墻,通常用在多服務(wù)器環(huán)境前面,為防火墻管理提供單點(diǎn)。
無論您最終使用哪種類型的防火墻,下一步都是定義一套好的規(guī)則。配置防火墻時的第 1 條規(guī)則,尤其是遠(yuǎn)程配置時,要非常小心,不要通過阻止用于訪問防火墻的連接來將自己鎖在門外。如果您不小心阻止了自己的連接——通常是物理控制臺或帶外控制臺解決方案,如 IPMI、ILO 或 DRAC,最好使用后備訪問方法來更改防火墻規(guī)則。
首先考慮您的服務(wù)器提供的服務(wù)。網(wǎng)絡(luò)服務(wù)利用特定端口來幫助區(qū)分連接類型。將它們想象成一條非常寬的高速公路上的車道,帶有分隔線以防止改變車道。例如,網(wǎng)絡(luò)服務(wù)器通常使用端口 80 進(jìn)行標(biāo)準(zhǔn)連接,使用端口 443 進(jìn)行使用 SSL 證書保護(hù)的連接。這些服務(wù)可以配置為使用非標(biāo)準(zhǔn)端口,因此請務(wù)必驗(yàn)證您的服務(wù)正在使用哪些端口。
接下來,確定您將如何遠(yuǎn)程管理您的服務(wù)器。在 Windows 上,這通常是通過 RDP(遠(yuǎn)程桌面協(xié)議)完成的,而在 Linux 上,您可能會使用 SSH(安全外殼)。理想情況下,您將希望阻止對用于管理的端口的訪問,除了少數(shù) IP 或一個小型子網(wǎng)之外的所有端口,以限制不在您組織內(nèi)的任何人對這些協(xié)議的訪問。例如,如果您是 Linux 服務(wù)器的唯一管理員,請打開 SSH 端口(通常為 22)以僅從您計算機(jī)的靜態(tài) IP 地址進(jìn)行連接。如果您沒有靜態(tài) IP 地址,您通??梢源_定一個子網(wǎng),您將從中分配一個 IP。雖然將一系列 IP 列入白名單并不理想,但這比向整個 Internet 開放該端口要好得多。
要生成一套可靠的規(guī)則,請阻止來自所有 IP 的所有端口,然后創(chuàng)建特定規(guī)則以打開您的服務(wù)和管理所需的那些端口——記住不要將自己鎖在外面。為您的服務(wù)開放的端口通常應(yīng)該從所有 IP 開放,但如上所述限制管理端口。
雖然防火墻不應(yīng)該是您唯一的防線,但創(chuàng)建一套合理的防火墻規(guī)則是增強(qiáng)服務(wù)器安全性的一個很好的起點(diǎn)。事實(shí)上,任何服務(wù)器都不應(yīng)沒有至少基本的防火墻配置。
身份驗(yàn)證和密碼
增強(qiáng)服務(wù)器安全性的最簡單方法之一就是實(shí)施強(qiáng)身份驗(yàn)證策略。您的服務(wù)器僅與密碼最弱的帳戶一樣安全。對于服務(wù)器上使用的任何密碼,請遵循良好的密碼指南,例如確保您的密碼長度足夠,而不是字典中的單詞,并且不要用于其他本身可能會受到威脅并泄露您的密碼的服務(wù)。雖然您可以通過良好的防火墻配置限制對服務(wù)器的遠(yuǎn)程訪問,但仍然存在可用于通過在開放網(wǎng)絡(luò)端口上運(yùn)行的受損或未修補(bǔ)服務(wù)向系統(tǒng)發(fā)送命令的漏洞。
在許多情況下,完全無密碼是可能的(而且更方便)!如果您訪問服務(wù)器的主要方法是通過 SSH,您可以在服務(wù)器的 SSH 配置文件中禁用密碼驗(yàn)證,而是使用一對公鑰和私鑰來授權(quán)您的連接。
請記住,如果您需要能夠隨時從任何地方登錄到您的服務(wù)器,則此方法可能不那么方便,因?yàn)槟枰獙⒛乃借€添加到您連接的任何新系統(tǒng)。此外,雖然這種方法使遠(yuǎn)程連接的安全性提高了一個數(shù)量級,但不要忘記為您的帳戶設(shè)置一個強(qiáng)密碼。黑客有時可以通過其他方式訪問系統(tǒng),您不希望擁有一個由密碼(如“1234”)保護(hù)的提升訪問權(quán)限的帳戶。
如今,雙因素身份驗(yàn)證 (2FA) 變得非常流行。使用 2FA 時,用戶不僅需要使用密碼進(jìn)行身份驗(yàn)證,還需要提供發(fā)送到先前注冊的電子郵件地址或移動設(shè)備的一次性代碼,以進(jìn)一步驗(yàn)證其身份??梢酝ㄟ^第三方服務(wù)或使用支持 2FA 的帳戶(如 Google 或 Microsoft)在您的服務(wù)器上實(shí)現(xiàn)類似的功能。cPanel\WHM 現(xiàn)在支持雙因素身份驗(yàn)證,因此如果您使用此控制面板作為服務(wù)器管理的主要方式,這可能是您的一個選擇。
蠻力保護(hù)
服務(wù)器上的常見攻擊向量是暴力攻擊。這些是使用猜測的用戶名和密碼進(jìn)行的遠(yuǎn)程登錄嘗試,在服務(wù)器和網(wǎng)絡(luò)允許的范圍內(nèi)一遍又一遍地重復(fù)。在不受保護(hù)的情況下,每天可能會進(jìn)行數(shù)十萬次嘗試——足以在一個月內(nèi)破解任何 8 個字符的密碼。出于這個原因,謹(jǐn)慎的做法是在您的服務(wù)器上安裝某種形式的暴力破解保護(hù)。
大多數(shù)暴力保護(hù)方法都采用兩種形式之一。第一種方法在登錄嘗試之間引入超時。即使此超時時間短至一秒,這也會導(dǎo)致攻擊花費(fèi)多倍的時間來破解密碼。您可能希望更長的超時時間以提供更好的安全性,同時又不會過度干擾拼寫錯誤的用戶的合法登錄嘗試。一些系統(tǒng)通過增加每次失敗嘗試的超時時間來采用這種方法,通常是指數(shù)級的。失敗一次,等待1秒。再次失敗,等待 5 秒。第三次失敗,等待 30 秒……到第四次嘗試時,您將非常小心地輸入密碼。
或者,此方法的一種變體對設(shè)定時間段內(nèi)允許的嘗試次數(shù)設(shè)置了硬性上限。登錄失敗次數(shù)過多將導(dǎo)致帳戶被鎖定——或者是暫時的,或者在更極端的情況下,直到被服務(wù)器管理員解鎖。這種方法有效地阻止了任何暴力攻擊,但對于不太小心輸入密碼的有效用戶來說,它可能會更加煩人。
第二種方法是在登錄請求中引入驗(yàn)證碼。這迫使用戶執(zhí)行一項(xiàng)對人類來說微不足道但對計算機(jī)來說卻很困難的壯舉。通常,這涉及某種圖像識別,例如識別包含路燈的網(wǎng)格中的所有圖片,或破譯一些用模糊字體書寫的文本。雖然計算機(jī)通常最終能夠解決這些請求,但它們花費(fèi)的時間比一般人類要長得多,并且大大減慢了攻擊速度。驗(yàn)證碼還經(jīng)常用于保護(hù)公眾評論部分免受垃圾郵件帖子和注冊表單的侵害。
暴力破解保護(hù)可以在許多防火墻或操作系統(tǒng)本身中找到——但不要忘記其他帳戶,例如 WordPress、cPanel/WHM 等。確保任何暴露的登錄都啟用了某種形式的暴力破解保護(hù)。
軟件更新和安全補(bǔ)丁
軟件和操作系統(tǒng)更新以及安全補(bǔ)丁對于維護(hù)安全服務(wù)器也很重要。如果您運(yùn)行的是易受已知漏洞利用的過時操作系統(tǒng)版本,那么您所有其他的努力都將毫無意義并完全付諸東流。
大多數(shù)軟件和操作系統(tǒng)供應(yīng)商都投入了大量資源來為他們的產(chǎn)品打補(bǔ)丁以應(yīng)對最近發(fā)現(xiàn)的漏洞,以至于許多次要版本包含的安全修復(fù)程序多于功能更新。對其產(chǎn)品的舊版本保持這種警惕性可能代價高昂,因此軟件和操作系統(tǒng)在多年后經(jīng)常被歸類為生命周期結(jié)束 (EOL)。除其他事項(xiàng)外,這意味著該產(chǎn)品將不再接收在達(dá)到 EOL 后可能發(fā)現(xiàn)的漏洞的更新。
這種類型的常見案例與 PHP 相關(guān),PHP 是 Web 上常用的一種腳本語言。在本文發(fā)布之時,所有早于 7.2 的 PHP 版本都已停產(chǎn)。盡管如此,PHP 5.3 的舊版本仍然很普遍。7.2 和 5.3 之間存在顯著差異,如果不對代碼進(jìn)行重大修改,就不可能升級到受支持的版本。
幸運(yùn)的是,通過這個特定的 PHP 版本示例,CloudLinux 已經(jīng)讓您了解了cPanel 服務(wù)器。CloudLinux 提供舊 PHP 版本的強(qiáng)化版本,以及安全更新,遠(yuǎn)遠(yuǎn)超過 EOL 日期。然而,這個問題可能發(fā)生在任何軟件上,而且大多數(shù)沒有像 CloudLinux 這樣簡單的解決方案。
運(yùn)行過時的操作系統(tǒng)也不是好的做法。例如,CentOS 5 已經(jīng)停產(chǎn)一段時間了,但這并不是一個非常罕見的景象。如果您碰巧正在運(yùn)行這樣的東西,您應(yīng)該盡快規(guī)劃您的升級路徑。當(dāng)您運(yùn)行的操作系統(tǒng)進(jìn)入 EOL 時,即使您的服務(wù)器上受支持的軟件也將停止接收更新,這是很常見的,因?yàn)楣?yīng)商不會在 EOL OS 版本上提供新版本。這會對您的服務(wù)器的安全產(chǎn)生級聯(lián)的負(fù)面影響。
代碼和自定義應(yīng)用程序
不幸的是,即使是最堅(jiān)固的服務(wù)器仍然容易受到網(wǎng)站上運(yùn)行的不安全代碼或應(yīng)用程序的攻擊。
如果您正在運(yùn)行可自定義的 Web 應(yīng)用程序,例如 WordPress、Joomla 或 Magento,那么不僅要使核心應(yīng)用程序保持最新,而且還要使所有插件或主題保持最新,這一點(diǎn)至關(guān)重要。這也適用于項(xiàng)目本身的代碼——如果您懷疑您的主題或插件“死了”并且不再更新,尋找替代品是明智的。新的漏洞不斷被發(fā)現(xiàn),應(yīng)用程序或插件只有在上次更新時才安全。
在處理開發(fā)人員為您創(chuàng)建的自定義代碼時,明智的做法是與您的開發(fā)人員保持持續(xù)的關(guān)系,以便您可以繼續(xù)接收更新。否則,您可能會遇到上述情況,您發(fā)現(xiàn)無法再更新您的 PHP 或其他重要軟件,因?yàn)樵摼W(wǎng)站與新版本不兼容。
這種攻擊向量可能是最難防御的,因?yàn)槟臄?shù)據(jù)中心或托管服務(wù)提供商通常不支持在您的服務(wù)器上運(yùn)行的自定義軟件和代碼。除非您運(yùn)行的是完全現(xiàn)成的軟件,否則請確保您有一個計劃來更新和修補(bǔ)您的代碼。
如您所見,保護(hù)服務(wù)器遠(yuǎn)遠(yuǎn)超出了初始設(shè)置的范圍。雖然這很重要,但同樣重要的是保持它是最新的,以對抗不斷增長的已知黑客和漏洞利用列表。系統(tǒng)受損可能造成巨大的經(jīng)濟(jì)損失和聲譽(yù)損失。正如一句古老的格言所說,一盎司的預(yù)防勝過一磅的治療。
網(wǎng)頁題目:了解可以保護(hù)您服務(wù)器的關(guān)鍵實(shí)踐
網(wǎng)頁地址:http://jinyejixie.com/news8/319508.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號、手機(jī)網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、做網(wǎng)站、微信小程序、App開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容