無論您經(jīng)營(yíng)的是小型個(gè)人博客還是日常流量很高的大型企業(yè)電子商務(wù)網(wǎng)站,安全性都是每個(gè)人都關(guān)心的問題。雖然粗略的第三方有時(shí)間和資源來利用他們?cè)谀南到y(tǒng)中發(fā)現(xiàn)的任何弱點(diǎn),但您也可以采取其他措施來提高服務(wù)器的安全性并阻止它們。以下是您可以采取的措施來加強(qiáng)保護(hù)。
使所有軟件保持最新
不用說,所有過時(shí)的程序、應(yīng)用程序、附加組件,甚至操作系統(tǒng)都會(huì)帶來高安全風(fēng)險(xiǎn)。開發(fā)人員提供頻繁的更新,不僅可以調(diào)整某些設(shè)置或引入新功能,還可以修補(bǔ)任何已知的安全漏洞。
每當(dāng)有新更新出現(xiàn)時(shí)更新所有內(nèi)容,或者如果您發(fā)現(xiàn)它很麻煩,只需自動(dòng)執(zhí)行此任務(wù)即可。如果您在基于 Debian 或 Ubuntu 的操作系統(tǒng)上運(yùn)行,您可以選擇“apt-get”,對(duì)于基于 centos 和 RHEL 的操作系統(tǒng),可以使用“rpm/yum”包管理器。這些非常方便,因?yàn)樗鼈冞€可以通過電子郵件通知您有關(guān)更新以及正在更改/修復(fù)的內(nèi)容。另一種自動(dòng)更新的簡(jiǎn)單方法是設(shè)置 cronjobs。
刪除未使用的模塊/包
雖然保持軟件更新是提高 VPS 服務(wù)器安全性的核心,但您還應(yīng)該卸載所有未使用的軟件。很可能大多數(shù)預(yù)裝在某些發(fā)行版中的模塊或包都是不需要的。如果您真的不需要或不使用它,您可能不會(huì)在新版本出現(xiàn)時(shí)急于更新它。確保你只運(yùn)行你實(shí)際使用的服務(wù),刪除其余的,你就不必?fù)?dān)心額外的弱點(diǎn)。
此外,不要安裝服務(wù)器不需要的包、模塊或軟件。如果你真的想要一個(gè)特定的附加組件或應(yīng)用程序,檢查它是否有任何已知的安全漏洞。
更改默認(rèn) SSH 端口
另一個(gè)提高服務(wù)器安全性的好方法是更改默認(rèn)的 SSH 端口,該端口通常設(shè)置為 22。許多用戶忘記這樣做,并且自然而然地,黑客通過編程機(jī)器人來利用這個(gè)錯(cuò)誤來瞄準(zhǔn)這個(gè)特定端口。但是機(jī)器人無法破解他們找不到的東西。
按照以下步驟更改默認(rèn) SSH 端口:
1.打開“/etc/ssh/sshd_config”配置文件。
2.找到以下行“# What ports, IPs and protocols we listen for”。它下面應(yīng)該有“Port 22”。
3.將“22”更改為您選擇的數(shù)字。不要輸入系統(tǒng)已使用的號(hào)碼!
4.保存并退出配置文件。
5.使用此命令重新啟動(dòng)服務(wù):“etc/init.d/ssh restart”
當(dāng)您請(qǐng)求 SSH 連接時(shí),您只需指明新端口即可。
禁用未使用的網(wǎng)絡(luò)端口
與默認(rèn)的 SSH 端口一樣,未使用和打開的網(wǎng)絡(luò)端口也會(huì)給您的 VPS 服務(wù)器安全帶來很大風(fēng)險(xiǎn)。您可以使用“nestat”命令檢查當(dāng)前打開了哪些端口。它還將顯示哪個(gè)端口與哪個(gè)系統(tǒng)服務(wù)相關(guān)聯(lián)。
挑出不需要的并設(shè)置“iptables”,這是一個(gè)基于規(guī)則的防火墻實(shí)用程序,可用于關(guān)閉打開的端口。您還可以使用“chkconfig”命令禁用任何不需要的服務(wù)。
僅使用強(qiáng)密碼
雖然似乎每個(gè)人都已經(jīng)知道擁有強(qiáng)密碼策略至關(guān)重要,但這一點(diǎn)仍然需要重復(fù)——弱密碼仍然是服務(wù)器安全的頭號(hào)威脅。以下是一些可幫助您創(chuàng)建強(qiáng)密碼的提示:
(1)讓他們盡可能長(zhǎng)
(2)不要使用可以在字典中找到的詞
(3)避免使用流行文化參考或簡(jiǎn)單的數(shù)字放置
(4)混合使用大小寫字母、符號(hào)和數(shù)字
記住永遠(yuǎn)不要使用相同的密碼兩次——系統(tǒng)上所有需要密碼的東西都應(yīng)該有一個(gè)唯一的密碼。定期更換它們也是很好的做法,即每 3 周左右更換一次。
創(chuàng)建定期備份
安全性不僅限于保護(hù)您自己免受可能的黑客攻擊——您還必須保護(hù)您的數(shù)據(jù)安全。創(chuàng)建備份對(duì)所有類型的主機(jī)服務(wù)器都是必不可少的。您永遠(yuǎn)不知道您的服務(wù)器會(huì)出現(xiàn)什么問題,數(shù)據(jù)丟失會(huì)對(duì)您的聲譽(yù)、信譽(yù)和利潤(rùn)造成極大的損害,尤其是當(dāng)機(jī)密的客戶信息面臨風(fēng)險(xiǎn)時(shí)。
雖然大多數(shù)IDC服務(wù)提供商會(huì)代表您創(chuàng)建備份或?yàn)榇巳蝿?wù)提供額外服務(wù),但不要只依賴您的主機(jī)。強(qiáng)烈建議您定期自己執(zhí)行這些操作,理想情況下,它們應(yīng)該存儲(chǔ)在您的服務(wù)器之外的不同位置。
禁用 ROOT 登錄,更改 ROOT 密碼并創(chuàng)建一個(gè)單獨(dú)的用戶
每個(gè)linux服務(wù)器都帶有一個(gè)默認(rèn)的“root”用戶名,供用戶登錄系統(tǒng)。保持原樣是非常危險(xiǎn)的,因?yàn)楹诳涂梢允褂帽┝糇罱K破解密碼并獲得訪問權(quán)限。提高服務(wù)器安全性的方法是禁用“root”用戶名的任何登錄,并創(chuàng)建另一個(gè)具有適當(dāng)權(quán)限的用戶名。您必須使用“sudo”命令來執(zhí)行所有根級(jí)命令。
要?jiǎng)?chuàng)建新用戶,請(qǐng)鍵入以下命令:“adduser CustomUserName”。只需按照提示輸入您的密碼、名稱等即可。不要忘記為這個(gè)新用戶設(shè)置 root 權(quán)限。
如果您仍計(jì)劃使用“root”登錄,那么至少更改此用戶名的密碼。您可以通過鍵入此命令來執(zhí)行此操作:“passwd root”。只需輸入您的新密碼兩次。注意:出于安全原因,在您輸入密碼時(shí)不會(huì)顯示密碼。
從 FTP 切換到 SFTP
雖然文件傳輸協(xié)議 (FTP) 是一種移動(dòng)文件的便捷方式,但它是當(dāng)今使用的最古老的協(xié)議之一。它沒有適當(dāng)?shù)募用埽⑶以谟?jì)算機(jī)程序攔截并記錄通過您的網(wǎng)絡(luò)的流量時(shí)容易受到數(shù)據(jù)包嗅探的攻擊。這意味著第三方可以讀取正在傳輸?shù)臄?shù)據(jù)。一些用戶選擇 FTPS,因?yàn)樗鼞?yīng)該可以提高安全性,但事實(shí)是它只加密憑據(jù)。
這就是創(chuàng)建“安全 FTP”或 SFTP 的原因,強(qiáng)烈建議用戶切換到此協(xié)議。它加密憑據(jù)和文件,確保沒有人可以讀取它們。
配置防火墻以提高安全性
防火墻本質(zhì)上是服務(wù)器的看門人,允許或拒絕對(duì)系統(tǒng)的訪問。防火墻可以阻止不需要的流量,并保護(hù)您免受 SQL 注入、HTTP 泛洪等攻擊。無論您使用的是預(yù)裝的還是自定義的,您仍應(yīng)配置以下內(nèi)容:
(1)流量過濾,使傳入流量與您觀察到的定義模式相匹配
(2)阻止某些 IP 地址
(3)關(guān)閉未使用的端口
·安裝反惡意軟件/防病毒程序
雖然防火墻會(huì)處理傳入的流量,但它們并非萬無一失,有害軟件仍然可以通過。這就是為什么您還必須通過安裝反惡意軟件和防病毒程序來確保服務(wù)器上的所有內(nèi)容都是安全的。他們將監(jiān)控所有系統(tǒng)活動(dòng)并隔離不需要的/可疑的文件。
安裝SSL 證書
這些證書完全加密所有發(fā)送到您的系統(tǒng)和從您的系統(tǒng)發(fā)送的數(shù)據(jù)。如果沒有適當(dāng)?shù)慕饷苊荑€,沒有人可以攔截信息,更不用說讀取正在傳輸?shù)膬?nèi)容了。這就是為什么安裝這些對(duì)保護(hù)所有類型的主機(jī)服務(wù)器都至關(guān)重要。
最后,不要忘記監(jiān)控您的服務(wù)器日志。您不僅會(huì)更好地了解您的系統(tǒng),還會(huì)在出現(xiàn)問題或出現(xiàn)黑客/網(wǎng)絡(luò)攻擊企圖時(shí)立即收到通知。在安全方面,最好盡可能地減少威脅并為任何事情做好準(zhǔn)備,而不是爭(zhēng)先恐后地挽救余波。
(注:本文屬【恒創(chuàng)科技】原創(chuàng),轉(zhuǎn)載請(qǐng)注明出處!)
