如何保護你的Linux服務器

服務器安全描述了用于保護企業(yè)服務器免受未經(jīng)授權(quán)的訪問和其他網(wǎng)絡(luò)威脅的軟件、工具和流程。這是大多數(shù)系統(tǒng)管理員和網(wǎng)絡(luò)安全團隊的關(guān)鍵要求。 基于操作系統(tǒng)強大的默認權(quán)限結(jié)構(gòu)，Linux 的安全性被認為是好的。但是，您仍然必須采用最佳實踐來保持服務器安全有效地運行。無論您的 Linux 服務器運行的是 Ubuntu、Debian 還是其他發(fā)行版，請按照以下步驟來加強您的 Linux 服務器的默認配置。

1.只安裝需要的包

您應該只安裝您的業(yè)務需要運行的軟件包，以保護您的服務器的功能。Linux 服務器發(fā)行版已經(jīng)安裝了各種常用的軟件包，例如 adduser 和 base-passwd。在安裝過程中，用戶可以選擇安裝其他軟件包，包括 Open SSH 服務器、DNS 服務器、LAMP 堆棧和打印服務器。

您還可以通過默認的包管理系統(tǒng)添加更多包。軟件包可以從官方存儲庫中提取，也可以通過添加 PPA（個人軟件包檔案）（由 Linux 用戶創(chuàng)建的存儲庫）來訪問更廣泛的程序選擇。

但是，您安裝的軟件包越多，尤其是來自第三方存儲庫的軟件包，您可能會在系統(tǒng)中引入更多漏洞。將已安裝的軟件包保持在合理的最低限度，并定期消除不需要的軟件包。

2.禁用root登錄

Linux 發(fā)行版包括一個名為“root”的超級用戶，其中包含提升的管理權(quán)限。啟用 root 登錄可能會帶來安全風險并降低托管在服務器上的小型企業(yè)云資源的安全性，因為黑客可以利用此憑據(jù)訪問服務器。為了加強您的服務器安全，您必須禁用此登錄。

禁用 root 帳戶的過程取決于您使用的 Linux 發(fā)行版 - 您必須首先創(chuàng)建一個新用戶帳戶并分配提升的 (sudo) 權(quán)限，這樣您仍然可以安裝軟件包和執(zhí)行其他管理操作在服務器上?；蛘?，您可以將這些權(quán)限分配給現(xiàn)有用戶，以確保安全的服務器登錄。

3.配置2FA

雙因素身份驗證(2FA) 在用戶登錄服務器之前需要密碼和第二個令牌，從而極大地提高了用戶訪問的安全性。

要在 Debian 服務器和 Debian 派生發(fā)行版上設(shè)置 2FA，您應該安裝 libpam-google-authenticator 軟件包。該軟件包可以顯示二維碼或生成可添加到軟件身份驗證設(shè)備（例如 Google Authenticator 或 Authy）的秘密令牌。

2FA 可以與 SSH（安全外殼）結(jié)合使用，以在登錄服務器時強制要求第二個憑據(jù)。SSH 是一種創(chuàng)建與遠程服務器的基于文本的加密連接的協(xié)議?？傊@些使服務器更能抵抗暴力破解和未經(jīng)授權(quán)的登錄嘗試，并可以提高小型企業(yè)的云安全性。

4. 執(zhí)行良好的密碼衛(wèi)生

良好的密碼衛(wèi)生不僅與登錄其個人計算機或 SaaS 應用程序的用戶有關(guān)。對于服務器，管理員還需要確保用戶使用足夠嚴格的密碼。這種做法使他們更能抵抗攻擊。

強制執(zhí)行最小加密強度

您的員工使用的密碼應高于一定的加密強度，例如，至少 12 個字符，字母、數(shù)字和符號的隨機組合。要在您的企業(yè)中強制執(zhí)行此操作，請考慮實施一種密碼管理工具，該工具可以驗證密碼的安全級別或生成足夠復雜的密碼。

強制執(zhí)行定期密碼輪換

確保您的員工定期更新所有應用程序和登錄密碼，尤其是那些具有管理服務器訪問權(quán)限的密碼。默認情況下，大多數(shù) Linux 發(fā)行版都包含一個用于修改密碼到期和老化信息的實用程序。該程序可以強制用戶定期重置密碼。Chage 就是這樣一種 CLI（命令行界面）。

管理員可以強制用戶在一定天數(shù)后更改密碼，例如，使用 -W 運算符：

改變 -W 10 丹尼爾

從提升的權(quán)限運行，此命令將強制用戶 'daniel' 在 10 天后更改其密碼。強制密碼更改也可以在洗澡或登錄事件時強制執(zhí)行。

5.服務器端殺毒軟件

雖然 Linux 計算機被認為對病毒、惡意軟件和其他形式的網(wǎng)絡(luò)攻擊具有相對抵抗力，但所有 Linux 端點（包括臺式機）都應該運行防病毒保護。防病毒產(chǎn)品將增強其運行的任何服務器的防御能力。Avast Business的下一代 Linux 服務器防病毒軟件支持 32 位和 64 位硬件，并具有通過 CLI 啟動的按需掃描功能。

6.定期或自動更新

你不應該持有舊的、未打補丁的軟件包，因為它們會給系統(tǒng)帶來可能被網(wǎng)絡(luò)犯罪分子利用的嚴重漏洞。為避免此問題，請確保您的服務器或服務器池定期更新。

許多 Linux 發(fā)行版，尤其是 Ubuntu，也在滾動發(fā)行周期中更新，包括長期 (LTS) 和短期發(fā)行版本。您的安全團隊應該從一開始就考慮他們是否希望在他們的機器上運行最先進或穩(wěn)定的軟件，并配置適當?shù)母虏呗浴?/p>

此外，許多 Linux 發(fā)行版包含用于應用自動更新的工具。例如，可用于 Debian 的 unattended-upgrades 軟件包將以固定的時間間隔輪詢更新并在后臺自動應用它們。

7.啟用防火墻

每臺 Linux 服務器都應該運行防火墻作為抵御未經(jīng)授權(quán)或惡意連接請求的初始防線。UFW（簡單防火墻）是一種常見的基本 Linux 防火墻。您應該檢查防火墻策略以確保它對您的業(yè)務操作環(huán)境有意義。

如今，分布式拒絕服務(DDoS) 攻擊也對一些運營商構(gòu)成威脅。面向 Internet 的 Linux 服務器可以放置在代理服務之后，以檢查和清理入站流量，從而提供 DDoS 保護。此外，還有一些可以直接安裝到服務器上的開源腳本。

8. 備份你的服務器

當涉及到計算機系統(tǒng)時，總會有一些事情可能出錯，并且包可能會產(chǎn)生依賴性問題和其他問題。因此，保留將更改回滾到服務器的能力至關(guān)重要。

一個強大的備份方法應該包括為每個主要受保護設(shè)備創(chuàng)建兩個副本，一個異地副本。更簡單的系統(tǒng)回滾工具可用于 Linux 服務器，可以幫助自動化此過程并允許更快的災難恢復 (DR)。

牢記安全

Linux 可能是您的小型企業(yè)或企業(yè)的最佳服務器，因為發(fā)行版通常具有自動配置的良好安全狀態(tài)。但是，為了顯著提高防御能力并大限度地減少惡意用戶獲得訪問權(quán)限的機會，您必須通過應用最佳實踐技巧來強化 Linux 服務器。使用服務器端防病毒工具（例如 Avast Business Linux Antivirus）應該始終是多層安全策略的一部分。

分享文章：如何保護你的Linux服務器
文章源于：http://muchs.cn/news31/324881.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、微信小程序、響應式網(wǎng)站、營銷型網(wǎng)站建設(shè)、全網(wǎng)營銷推廣、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)