了解如何保護您的Linux境外伺服器並保護數據免受黑客攻擊
境外伺服器安全描述了用於保護企業伺服器免受未經授權的訪問和其他網絡威脅的軟體、工具和流程。這是大多數系統管理員和網絡安全團隊的關鍵要求。
基於作業系統強大的默認權限結構,Linux安全性被認為是好的。但是,您仍然必須採用最佳實踐來保證您的境外伺服器安全有效地運行。
無論您的 Linux境外伺服器運行的是 Ubuntu、Debian還是其他發行版,都可以按照以下步驟來加強Linux伺服器的默認配置。
1.只安裝需要的軟體包
您應該只安裝您的業務需要運行的軟體包,以保護您境外伺服器的功能。
Linux伺服器發行版附帶了各種已安裝的常用包,例如adduser和base-passwd。在安裝過程中,用戶可以選擇安裝其他軟體包,包括Open SSH伺服器、DNS伺服器、LAMP堆棧和列印伺服器。
您還可以通過默認包管理系統添加更多包。軟體包可以從官方存儲庫中提取,也可以通過添加 PPA(個人軟體包存檔)、Linux用戶創建的存儲庫來獲取對更多程序的訪問權限。
但是,您安裝的軟體包越多,尤其是來自第三方存儲庫的軟體包,您引入系統的漏洞就越多。將已安裝的軟體包保持在合理的最低限度,並定期刪除不需要的軟體包。
2.禁用root登錄
Linux發行版包括一個名為「root」的超級用戶,它包含提升的管理權限。保持root登錄啟用可能會帶來安全風險並降低境外伺服器上託管的小型企業雲資源的安全性,因為黑客可以利用此憑據訪問伺服器。為了加強您的境外伺服器安全,您必須禁用此登錄。
禁用root帳戶的過程因您使用的Linux發行版而異——您必須首先創建一個新的用戶帳戶並分配提升的(sudo)權限,這樣您仍然可以安裝軟體包和執行其他管理操作在境外伺服器上。或者,您可以將這些權限分配給現有用戶以確保安全登錄境外伺服器。
3.配置2FA
雙因素身份驗證(2FA)通過在用戶登錄境外伺服器之前要求輸入密碼和第二個令牌,極大地提高了用戶訪問的安全性。
要在Debian伺服器和Debian衍生發行版上設置2FA,您應該安裝libpam-google-authenticator 包。該軟體包可以顯示二維碼或生成可以添加到軟體身份驗證設備(例如 Google Authenticator 或 Authy)的秘密令牌。
2FA可以與SSH(安全外殼)結合使用,以在登錄境外伺服器時強制要求提供第二個憑據。SSH是一種協議,可創建到遠程伺服器的加密的、基於文本的連接。總之,這些使伺服器更能抵抗暴力、未經授權的登錄嘗試,並可以提高小型企業的雲安全性。
4. 實施良好的密碼
- 強制執行最低加密強度
- 強制定期輪換密碼
員工使用的密碼應超過一定的加密強度,例如,至少12個字符,字母、數字和符號的隨機組合。要在您的企業中強制執行此操作,請考慮實施密碼管理工具,該工具可以驗證密碼的安全級別或生成足夠複雜的密碼。
確保您的員工定期更新所有應用程式和登錄密碼,尤其是那些具有管理境外伺服器訪問權限的密碼。
默認情況下,大多數Linux發行版都包含一個用於修改密碼過期和老化信息的實用程序。該程序可以強制用戶定期重置密碼。Chage就是這樣一種CLI(命令行界面)。 管理員可以強制用戶在一定天數後更改密碼。
5.伺服器端殺毒軟體
雖然Linux計算機被認為對病毒、惡意軟體和其他形式的網絡攻擊具有相對抵抗力,但所有 Linux端點(包括台式機)都應運行防病毒保護。防病毒產品將增強其運行的任何境外伺服器器的防禦能力。
6.定期或自動更新
您不應持有未打補丁的舊軟體包,因為它們會給系統帶來嚴重漏洞,可能會被網絡犯罪分子利用。為避免此問題,請確保您的境外伺服器或伺服器池定期更新。
許多Linux發行版,尤其是Ubuntu,也在滾動發行周期中更新了長期 (LTS) 和短期發行版。您的安全團隊應該從一開始就考慮他們是想在他們的機器上運行前沿軟體還是穩定軟體,並配置適當的更新策略。
此外,許多Linux發行版都包含用於應用自動更新的工具。例如,可用於Debian的無人值守升級包將以固定的時間間隔輪詢更新並在後台自動應用它們。
7.啟用防火牆
每台Linux伺服器都應該運行防火牆作為防禦未經授權或惡意連接請求的初始防線。UFW(uncomplicated firewall)是一種常見的基礎Linux防火牆。您應該檢查防火牆策略以確保它對您的業務操作環境有意義。
如今,分布式拒絕服務(DDoS)攻擊也對一些運營商構成威脅。面向網際網路的Linux伺服器可以放置在代理服務後面,以檢查和清除入站流量,提供DDoS保護。此外,還有可以直接安裝到伺服器上的開源腳本。
8. 備份你的境外伺服器
當涉及到計算機系統時,總會有出錯的地方,並且包會產生依賴性問題和其他問題。因此,保留將更改回滾到伺服器的能力至關重要。
一種可靠的備份方法應該包括為每個主要受保護設備創建兩個副本,一個在異地。更簡單的系統回滾工具可用於Linux伺服器,有助於自動執行此過程並允許更快的災難恢復 (DR)。