了解如何保护您的Linux境外服务器并保护数据免受黑客攻击

境外服务器安全描述了用于保护企业服务器免受未经授权的访问和其他网络威胁的软件、工具和流程。这是大多数系统管理员和网络安全团队的关键要求。

基于操作系统强大的默认权限结构，Linux安全性被认为是好的。但是，您仍然必须采用最佳实践来保证您的境外服务器安全有效地运行。

无论您的 Linux境外服务器运行的是 Ubuntu、Debian还是其他发行版，都可以按照以下步骤来加强Linux服务器的默认配置。

1.只安装需要的软件包

您应该只安装您的业务需要运行的软件包，以保护您境外服务器的功能。

Linux服务器发行版附带了各种已安装的常用包，例如adduser和base-passwd。在安装过程中，用户可以选择安装其他软件包，包括Open SSH服务器、DNS服务器、LAMP堆栈和打印服务器。

您还可以通过默认包管理系统添加更多包。软件包可以从官方存储库中提取，也可以通过添加 PPA（个人软件包存档）、Linux用户创建的存储库来获取对更多程序的访问权限。

但是，您安装的软件包越多，尤其是来自第三方存储库的软件包，您引入系统的漏洞就越多。将已安装的软件包保持在合理的最低限度，并定期删除不需要的软件包。

2.禁用root登录

Linux发行版包括一个名为“root”的超级用户，它包含提升的管理权限。保持root登录启用可能会带来安全风险并降低境外服务器上托管的小型企业云资源的安全性，因为黑客可以利用此凭据访问服务器。为了加强您的境外服务器安全，您必须禁用此登录。

禁用root帐户的过程因您使用的Linux发行版而异——您必须首先创建一个新的用户帐户并分配提升的(sudo)权限，这样您仍然可以安装软件包和执行其他管理操作在境外服务器上。或者，您可以将这些权限分配给现有用户以确保安全登录境外服务器。

3.配置2FA

双因素身份验证(2FA)通过在用户登录境外服务器之前要求输入密码和第二个令牌，极大地提高了用户访问的安全性。

要在Debian服务器和Debian衍生发行版上设置2FA，您应该安装libpam-google-authenticator 包。该软件包可以显示二维码或生成可以添加到软件身份验证设备（例如 Google Authenticator 或 Authy）的秘密令牌。

2FA可以与SSH（安全外壳）结合使用，以在登录境外服务器时强制要求提供第二个凭据。SSH是一种协议，可创建到远程服务器的加密的、基于文本的连接。总之，这些使服务器更能抵抗暴力、未经授权的登录尝试，并可以提高小型企业的云安全性。

4. 实施良好的密码

• 强制执行最低加密强度

员工使用的密码应超过一定的加密强度，例如，至少12个字符，字母、数字和符号的随机组合。要在您的企业中强制执行此操作，请考虑实施密码管理工具，该工具可以验证密码的安全级别或生成足够复杂的密码。

• 强制定期轮换密码

确保您的员工定期更新所有应用程序和登录密码，尤其是那些具有管理境外服务器访问权限的密码。

默认情况下，大多数Linux发行版都包含一个用于修改密码过期和老化信息的实用程序。该程序可以强制用户定期重置密码。Chage就是这样一种CLI（命令行界面）。 管理员可以强制用户在一定天数后更改密码。

5.服务器端杀毒软件

虽然Linux计算机被认为对病毒、恶意软件和其他形式的网络攻击具有相对抵抗力，但所有 Linux端点（包括台式机）都应运行防病毒保护。防病毒产品将增强其运行的任何境外服务器器的防御能力。

6.定期或自动更新

您不应持有未打补丁的旧软件包，因为它们会给系统带来严重漏洞，可能会被网络犯罪分子利用。为避免此问题，请确保您的境外服务器或服务器池定期更新。

许多Linux发行版，尤其是Ubuntu，也在滚动发行周期中更新了长期 (LTS) 和短期发行版。您的安全团队应该从一开始就考虑他们是想在他们的机器上运行前沿软件还是稳定软件，并配置适当的更新策略。

此外，许多Linux发行版都包含用于应用自动更新的工具。例如，可用于Debian的无人值守升级包将以固定的时间间隔轮询更新并在后台自动应用它们。

7.启用防火墙

每台Linux服务器都应该运行防火墙作为防御未经授权或恶意连接请求的初始防线。UFW（uncomplicated firewall）是一种常见的基础Linux防火墙。您应该检查防火墙策略以确保它对您的业务操作环境有意义。

如今，分布式拒绝服务(DDoS)攻击也对一些运营商构成威胁。面向互联网的Linux服务器可以放置在代理服务后面，以检查和清除入站流量，提供DDoS保护。此外，还有可以直接安装到服务器上的开源脚本。

8. 备份你的境外服务器

当涉及到计算机系统时，总会有出错的地方，并且包会产生依赖性问题和其他问题。因此，保留将更改回滚到服务器的能力至关重要。

一种可靠的备份方法应该包括为每个主要受保护设备创建两个副本，一个在异地。更简单的系统回滚工具可用于Linux服务器，有助于自动执行此过程并允许更快的灾难恢复 (DR)。