咨询邮箱 咨询邮箱:1947790376@qq.com 咨询热线 咨询热线:0371-56752222 微博 微信
提升你的服务器安全性能的几个策略
发表日期:2017-09-21    来源:帝通科技http://www.9dm.cn    浏览次数:
系统的曝光被称为“攻击面”,所有安全措施都会尝试减少或删除攻击者可以了解您的系统或者如何攻击系统。安全性是服务器托管行业建议的最佳实践与您的业务或目标需要生存之间的权衡。
 
当你将一个系统暴露在互联网上的那一刻,你就把它置于危险之中。像盗贼检查门窗一样,成千上万的受感染机器每天24小时扫描新的受害者,没有牢固的安全基础,您的服务器将无法生存。
 提高服务器托管性能的几个策略
我们想要实现的是一个让我们安全的妥协。
 
我们可以删除,我们删除。
我们不能删除,我们保护。
我们无法控制,我们隔离。
安全从不方便。人性使我们走下阻力最小的道路,所以重要的是要明白交易安全为方便起见增加风险。通过想象如果结果不是您希望的结果可能会发生什么,做出有关这一风险的明智决定。不要短期的回报(易于访问,不必输入密码)长期的痛苦(受损的系统,赎金,客户信任的损失)。
 
有两组策略将有助于保护您的系统:系统级和应用级更改。前者涵盖了您可以在系统本身上进行的工作,以便在实践和政策中确保安全。第二个涵盖了您可以在应用程序中执行的工作。由于您的应用程序是您的互联网足迹的最大部分,它需要最多的注意安全。
 
今天的文章将涵盖第一套战略 - 减少攻击面的系统更改。
 
基本策略
安装更新并保持最新状态
当您第一次安装系统时,您已经安装了一个系统,其中提供了到某一特定日期的信息。对于Linux机器,它与您下载的ISO一样。如果您从最小的启动映像安装在网络上,那么它最后一次更新包。
 
在所有情况下,您都要立即安装所有系统更新,使系统达到操作系统的当前安全级别。从某种防火墙或NAT路由器后面执行此操作 - 如果您有一台已经暴露在Internet上的机器,请使用网络策略来限制所有入站访问,而不是您需要安全连接。限制对您自己的IP地址的初始访问,并在安装操作系统之前执行此操作。
 
安装和更新后,制定一个定期更新策略并进行跟踪。没有监督过程的人员不应更新生产机器; 这样做使得他们有服务停止的风险或需要修改的配置文件。这反过来会使您的业务面临风险。
 
而是决定在停机时间可接受的时间(维护窗口),并在此期间运行更新。影响内核或核心操作系统的系统更新可能需要重新启动 - 准备在重新启动时将用户引导到“维护维护”页面。
 
如果在负载平衡器后面有多个实例,请计划滚动更新,其中将50%的计算机从负载平衡器中删除,更新和重新启动,然后与其他计算机交换。如果您在维护时间过长的情况下安排维护窗口,您的用户将不会注意到中断。
 
删除不需要的软件
系统默认值就是:默认值。它们可以让您改变它们,以便根据需要来调整系统。检查您不需要的服务,并停止它们。如果可能,删除运行它们的软件。这些服务不仅占用了CPU和RAM等宝贵的资源,而且还使您无法控制的危险。运行的服务越少,攻击者可以检测到的越少越少。
 
检查您需要的服务,并确保它们的运行范围超过您所需要的范围。例如,如果您的Web服务器不需要与Java Servlet容器进行通信,或者运行CGI脚本或服务器端程序包,请不要加载允许这样做的模块。
 
不要将组件保留在适当位置,因为以后可能需要它们。坚持你现在所需要的,你可以在将来添加更多。
 
使用netstat发现正在侦听连接的端口,同时具有过TCP和UDP,并同时支持IPv4和IPv6。如果您不需要该服务,请关闭它。如果您无法关闭它,请确保您的网络策略限制对该端口的访问。
 
使用tmpfs并删除可执行位
当程序需要一个位置写出临时信息时,它们写入/tmp或/var/tmp。这些目录具有允许任何人写入他们的特殊权限,攻击者使用它们进行权限升级。
 
如果攻击者可以通过互联网破坏应用程序,则可以在运行该应用程序的用户时获得系统访问权限。例如,网络服务器的妥协,必须暴露给互联网才能完成其工作,可能会让她访问www数据用户。该用户无法在系统上执行任何重要操作,但它确实有权访问/tmp。
 
攻击者可以强制网络服务器将shell代码写入/tmp然后执行该代码以从Internet检索攻击有效载荷,然后执行它们。这些有效载荷运行在网络服务器的范围之外(尽管只是作为网络服务器用户),因此他们可以访问整个系统。攻击者将使用这些程序来尝试进一步破坏该系统,从而将其权限升级到具有更大访问权限的用户。每个层次都向下一个步骤迈进。
 
防止这种情况的一个简单方法是更改/etc/fstab为挂接/tmp和/var/tmp作为名为tmpfs的特殊类型的内存中文件系统。将这些目录重新安装为tmpfs时,可以告诉操作系统以防止这些位置下的文件执行。这意味着即使攻击者将网络服务器损坏并将shell代码写入/ tmp,则无法执行该代码来进一步破坏系统。
 
使用SSH密钥进行访问
如果您正在运行Linux(或任何Unix版本),则系统正在运行SSH以进行远程访问。SSH可以使用密码进行身份验证,但这并不像其他方法那么安全。安全SSH最简单和最快捷的方法是禁用密码验证并启用SSH密钥。
 
需要访问系统的每个用户都会生成SSH密钥对(强度为2048位或更多),并为其添加密码。密码短语与用户计算机上的私钥一起存储,只有公钥被传送到服务器,并添加到~/.ssh/authorized_keys远程用户的主目录中。
 
当用户登录到服务器时,将要求他们在自己的机器上输入密码。这将解密私钥,并打开此通道以进行远程系统上用户的身份验证。
 
SSH密钥的常见错误是不提供私钥的密码。为了方便起见,这将安全交易,并将系统暴露给远程用户计算机的任何妥协。确保您所控制的系统比保护每个可能具有系统登录权限的人的计算机更容易。
 
始终使用SSH密钥使用密码。为避免在每次登录时输入密码,请激活系统上的SSH代理。当您的计算机启动时,它会要求您输入一次密码,然后使用SSH密钥。这在安全性和便利性之间达到了良好的平衡。

本文链接:http://www.9dm.cn/industry/190.html转载请注明。
标签:服务器托管,服务器安全


上一篇:帝通科技游戏服务器对玩家体验提升的优势有那些? 下一篇:在windows server游戏服务器中安装 Arma 3服务器