在線業(yè)務(wù)的趨勢與日俱增，方便用戶通過在線支付無需訪問銀行即可在家門口購買服務(wù)或產(chǎn)品。保護(hù)數(shù)據(jù)是最重要的，因為黑客正在積極嘗試破壞機(jī)密和私人信息。在本文中，您將了解服務(wù)器配置以及保護(hù)服務(wù)器機(jī)器的不同方法。

在將服務(wù)器投入生產(chǎn)環(huán)境之前，您只需按照這 10 個步驟安全地設(shè)置服務(wù)器。以下細(xì)節(jié)可能因發(fā)行版而異，但相同的概念可用于任何風(fēng)格的 Linux。一旦您完成了所有這些服務(wù)器配置，這意味著您已經(jīng)添加了針對常見攻擊的基本保護(hù)。

服務(wù)器配置的快速概述以及如何主動配置。

1. 用戶配置

在服務(wù)器配置中執(zhí)行任何其他操作之前，更改 root 密碼是您需要做的基本事情。嘗試使用數(shù)字、符號、大小寫字母組合的復(fù)雜密碼。通過設(shè)置密碼策略來防止黑客攻擊，該策略指定使用本地帳戶的歷史記錄、鎖定和復(fù)雜性要求，并確保您的密碼長度至少為 8 個字符。完全禁用 root 用戶，并為需要提升權(quán)限的用戶創(chuàng)建其他具有 sudo 訪問權(quán)限的非特權(quán)帳戶。

2. 網(wǎng)絡(luò)配置

您需要通過分配 IP 地址和主機(jī)名來啟用可能的網(wǎng)絡(luò)連接。網(wǎng)絡(luò)服務(wù)器必須分配靜態(tài) IP 地址，以便用戶始終可以在同一地址找到該網(wǎng)絡(luò)資源。如果是 VLAN（虛擬局域網(wǎng)），請考慮基本的事情，包括服務(wù)器網(wǎng)段的隔離程度以及它更適合的位置。如果您不使用 IPV6，則無需將其打開。設(shè)置任何主機(jī)名、域（如果沒有則注冊任何域名）和 DNS 服務(wù)器的信息。此外，可以使用多個DNS 服務(wù)器進(jìn)行冗余，并通過測試 nslookup 來檢查解析是否正常工作。

3. 包管理

設(shè)置服務(wù)器可能有任何特定目的，因此請確保您已安裝發(fā)行版中未包含的所需軟件包。有不同的最廣泛使用的應(yīng)用程序包，包括 PHP、NGINX、MongoDB 和其他支持包，例如 pear。請記住，刪除額外的包以縮小服務(wù)器占用空間，因為您不需要保留它們以供進(jìn)一步使用。在不久的將來，如果您需要獲得他們的特定服務(wù)，那么您只需轉(zhuǎn)到您的發(fā)行版的包管理解決方案即可輕松地再次安裝它們。

4.更新安裝和配置

現(xiàn)在，您已經(jīng)在服務(wù)器上安裝了所需的軟件包，但請確保所有軟件包都已更新。還必須使內(nèi)核和默認(rèn)軟件包保持最新。如果您需要舊版本，則可以使用，但出于安全目的，我建議您使用最新版本。包管理器將提供有關(guān)最新支持版本的信息以及自動更新選項。

5.NTP配置

服務(wù)器設(shè)置或服務(wù)器配置一旦在所需安全級別的幫助下正確完成，將幫助您以最小的風(fēng)險因素讓您高枕無憂。NTP 服務(wù)器可以是可供所有人使用的內(nèi)部或外部時間服務(wù)器。為什么防止時鐘漂移更重要，因為它可能會導(dǎo)致很多問題，例如身份驗證問題，因為在授予訪問權(quán)限之前測量計算機(jī)（服務(wù)器）和身份驗證基礎(chǔ)設(shè)施之間的時間偏差。因此，必須防止時鐘偏差問題才能正常工作。

6. 防火墻和 iptables

在這個數(shù)字世界中，必須實(shí)施所需的安全級別。一旦被黑客入侵，就不可能再次獲得客戶的信任并再次穩(wěn)定業(yè)務(wù)。根據(jù)分發(fā)類型，iptables 可能被鎖定或要求您打開所需的內(nèi)容，但不要將其保留為默認(rèn)值。根據(jù)您的特定需要更改服務(wù)器的配置，并始終使用最小權(quán)限原則。只打開那些對于不同服務(wù)的工作高度需要和強(qiáng)制的端口。這是使用服務(wù)器后面的專用防火墻并確保您的 iptables/firewall 默認(rèn)為限制性的好方法。

7. 保護(hù) SSH

它與 Windows 操作系統(tǒng)中使用的命令行界面相同。SSH 是 Linux 發(fā)行版的訪問方法，用于執(zhí)行管理級別的操作。禁用 root 遠(yuǎn)程 SSH 的能力，這樣如果在服務(wù)器計算機(jī)上啟用了 root，那么它將無法遠(yuǎn)程利用。

此外，如果您有一組固定的用戶或客戶端 IP 與您的服務(wù)器連接，您還有另一個選項來限制某些 IP 地址。您可以選擇更改您的默認(rèn) SSH 端口號，但它并不像您想象的那么安全，因為簡單的掃描可以顯示您的開放端口想要執(zhí)行任何非法或黑客活動。服務(wù)器配置并不像您想象的那么困難，它需要注意細(xì)節(jié)以獲得最高級別的安全性。您應(yīng)該實(shí)施基于證書的身份驗證并禁用密碼身份驗證，以減少 SSH 被利用的機(jī)會。

8. 守護(hù)程序配置

現(xiàn)在，您已經(jīng)配置了服務(wù)器，但還需要實(shí)施一些事情以提高安全性。設(shè)置正確的應(yīng)用程序以在重新啟動時自動啟動并關(guān)閉不使用的守護(hù)程序。這是一種減少活動足跡的主動方法，以便只有應(yīng)用程序所需的表面區(qū)域可用于攻擊。完成此任務(wù)后，盡量加固其他剩余服務(wù)，享受最高級別的安全性和彈性。

9. SELinux 和進(jìn)一步強(qiáng)化

SELinux（Security-Enhanced Linux）是一種內(nèi)核強(qiáng)化工具或安全架構(gòu)，用于保護(hù)服務(wù)器機(jī)器免受不同操作的影響，并允許管理員更好地控制誰可以訪問。換句話說，SELinux 是為了確保 SELinux 是否啟用，您可以運(yùn)行 sestatus。如果您收到一條提示您受到 SELinux 保護(hù)的消息的狀態(tài)。如果您收到許可消息，則表示 SELinux 已啟用，但并未保護(hù)您，“禁用”表示您已完全禁用。

基于 Linux 的發(fā)行版上的 MAC（強(qiáng)制訪問控制）。它是一個很好的工具，用于保護(hù)對系統(tǒng)資源的未經(jīng)授權(quán)的訪問。建議在啟用 SELinux 的幫助下測試您的配置，以便您可以確保在日志的幫助下沒有阻止任何合法的東西。您還可以檢查強(qiáng)化其他應(yīng)用程序（如 MySQL、Apache 等）的不同方法。

10. 記錄

在最后階段，確保您所需的日志記錄級別已啟用或未啟用，并且您有足夠的資源。如果你已經(jīng)建立了一個日志結(jié)構(gòu)，那么在短時間內(nèi)解決問題對你來說會更有用。現(xiàn)在，對服務(wù)器進(jìn)行故障排除以獲取更多信息或轉(zhuǎn)到具有可配置日志結(jié)構(gòu)的軟件以了解數(shù)據(jù)不足和信息過多之間的平衡。此外，還有第三方工具可幫助您從聚合到可視化，但必須了解每個環(huán)境的需求。然后，您可以選擇正確的工具或工具集來正確填充它們。

最后的話

最重要的是，如果您的服務(wù)器是攻擊的目標(biāo)，則未能采取這些服務(wù)器配置步驟可能會更加危險。如果您遵循所有這些步驟，這并不能保證安全，但它確實(shí)使惡意行為者的過程變得困難或耗時，并且需要更高水平的技能來克服。數(shù)據(jù)泄露發(fā)生，因此您可以了解所有防止數(shù)據(jù)泄露的事情，并且不會留下任何漏洞為黑客提供機(jī)會。