服務(wù)器安全是網(wǎng)絡(luò)托管提供商和服務(wù)器管理員服務(wù)器管理的一個(gè)關(guān)鍵方面。在這里，我們將介紹十種用于強(qiáng)化服務(wù)器并監(jiān)控它們是否存在安全漏洞的技術(shù)。

1. SSH使用公鑰認(rèn)證

刪除未加密的訪問。沒有人應(yīng)該再使用 telnet、ftp 或 http 來管理服務(wù)器。SSH、SFTP 和 https 是公認(rèn)的標(biāo)準(zhǔn)。為了獲得更好的安全性，完全擺脫 SSH 上的密碼身份驗(yàn)證。相反，請(qǐng)使用 SSH 密鑰。每個(gè)用戶都有一個(gè)公鑰和一個(gè)私鑰。私鑰由用戶保管。公鑰保存在服務(wù)器上。當(dāng)用戶嘗試登錄時(shí)，SSH 確保公鑰與私鑰匹配。一旦密碼登錄被禁用，就沒有針對(duì)弱密碼的成功暴力攻擊的風(fēng)險(xiǎn)。

2. 強(qiáng)密碼

安全加固的服務(wù)器對(duì)犯罪分子來說是一個(gè)挑戰(zhàn)，但您會(huì)驚訝于有多少服務(wù)器管理員敞開前門。人們——包括那些應(yīng)該更了解的人——傾向于選擇容易猜到的密碼。去年，針對(duì)具有弱 SSH 密碼的服務(wù)器的暴力攻擊導(dǎo)致了大量的勒索軟件攻擊。使用長(zhǎng)密碼和隨機(jī)密碼——長(zhǎng)密碼更好，并最終限制具有登錄類型訪問權(quán)限的用戶。

3. 安裝和配置 CSF 防火墻

Config Server Firewall是一款功能豐富的免費(fèi)防火墻，可以保護(hù)服務(wù)器免受各種攻擊。其功能包括狀態(tài)數(shù)據(jù)包檢查、身份驗(yàn)證失敗率限制、洪水保護(hù)、目錄監(jiān)視和外部阻止列表的使用。CSF 是一個(gè)很棒的工具，并且比 iptables 更容易管理。

4. 安裝和配置 Fail2Ban

網(wǎng)絡(luò)上的每臺(tái)服務(wù)器都被尋找弱點(diǎn)的機(jī)器人所困擾。Fail2Ban會(huì)搜索您服務(wù)器的日志以搜索指示惡意連接的模式，例如太多失敗的身份驗(yàn)證嘗試或太多來自同一 IP 的連接。然后它可以阻止來自這些 IP 的連接并通知管理員帳戶。

5.安裝惡意軟件掃描軟件

理想情況下，您希望將惡意人員拒之門外，但如果他們確實(shí)設(shè)法破壞了服務(wù)器的安全性，您希望盡快了解情況。ClamAV是一款出色的 Linux 惡意軟件掃描工具，而rkhunter可用于查找 Rootkit。結(jié)合起來，他們很有可能會(huì)發(fā)現(xiàn)黑客可能在服務(wù)器上安裝的任何惡意軟件。AIDE可用于在系統(tǒng)上生成文件哈希表，然后每天比較文件的哈希計(jì)數(shù)以確認(rèn)沒有對(duì)系統(tǒng)關(guān)鍵文件進(jìn)行任何更改。

6. 保持軟件最新

過時(shí)的軟件可能包含黑客已知的安全漏洞，正如Equifax 最近以每個(gè)人的代價(jià)發(fā)現(xiàn)的那樣。如果您忽略本文中的所有其他建議（您不應(yīng)該這樣做），您至少應(yīng)該使用 Linux 發(fā)行版的包管理器進(jìn)行更新。

7.定期備份

您可能不認(rèn)為備份是一種安全措施，但我們保護(hù)服務(wù)器的主要原因是確保存儲(chǔ)在其上的數(shù)據(jù)安全。不可能保證服務(wù)器永遠(yuǎn)不會(huì)受到損害，因此數(shù)據(jù)應(yīng)該加密并備份到異地位置。定期測(cè)試全面?zhèn)浞莸幕謴?fù)將消除勒索軟件攻擊。

8.監(jiān)控日志

日志是一個(gè)極其重要的安全工具。服務(wù)器收集了大量關(guān)于它做什么以及誰連接到它的信息。該數(shù)據(jù)中的模式通常會(huì)揭示惡意行為或安全漏洞。Logwatch是一個(gè)優(yōu)秀的日常總結(jié)工具，可以分析、總結(jié)并生成關(guān)于您的服務(wù)器上發(fā)生的事情的報(bào)告。Logsentry可用于每小時(shí)報(bào)告以更主動(dòng)地監(jiān)控入口。

9.關(guān)閉不必要的服務(wù)

應(yīng)禁用對(duì)服務(wù)器功能不重要的任何面向 Internet 的軟件。服務(wù)器內(nèi)部環(huán)境與外界的接觸點(diǎn)越少越好。大多數(shù) Linux 發(fā)行版（包括CentOS和Ubuntu）都包含一個(gè)用于管理服務(wù)的工具。

這也適用于 Web 服務(wù)器引擎本身，關(guān)閉不需要的模塊，刪除不使用的語言模塊，禁用 Web 服務(wù)器狀態(tài)和調(diào)試頁(yè)面。您提供的有關(guān)底層基礎(chǔ)設(shè)施的信息越少，攻擊您的足跡就越小。

10.安裝ModSecurity

ModSecurity是一種 Web 應(yīng)用程序防火墻——它運(yùn)行在比 CSF 防火墻更高的級(jí)別，旨在處理針對(duì)應(yīng)用程序?qū)拥耐{。簡(jiǎn)而言之，它阻止了針對(duì) Web 應(yīng)用程序的多種類型的攻擊，包括 WordPress 等內(nèi)容管理系統(tǒng)和 Magento 等電子商務(wù)商店。ModSecurity 曾經(jīng)是一個(gè) Apache 模塊，但現(xiàn)在也可用于 NGINX。

還要考慮這些選項(xiàng)：

采取措施減輕 XSS 攻擊（跨站點(diǎn)腳本），方法是將設(shè)置添加到服務(wù)器，強(qiáng)制服務(wù)器和客戶端確認(rèn)他們正在與誰交談。OWASP有豐富的信息和教程。

使用 HTTP2（或 http1.2） HTTP/2 的實(shí)現(xiàn)必須使用 TLS 版本 1.2 或更高版本用于基于 TLS 的 HTTP/2。這種升級(jí)后的 http 引擎通過與客戶端交談二進(jìn)制而不是文本來提高服務(wù)器負(fù)載，提高互操作性，它減少了對(duì)已知安全漏洞的暴露，并減少了來自不同客戶端瀏覽器訪問的站點(diǎn)顯示問題的可能性。