在本文中,小編將分享網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧。在實(shí)際環(huán)境中部署服務(wù)器之前,請遵循以下步驟以確保其安全。盡管每個(gè)Linux發(fā)行版各不相同,但其基本概念本質(zhì)上是相同的。完成此配置后,我們的服務(wù)器將得到很好的保護(hù),免受常見的安全威脅。
網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧
1、設(shè)置互聯(lián)網(wǎng)協(xié)議 (IP)
為了它可以建立互聯(lián)網(wǎng)連接,我們必須首先為服務(wù)器提供ip地址和主機(jī)名。大多數(shù)服務(wù)器將需要我們使用靜態(tài)ip地址以確??蛻艨梢詮囊恢碌奈恢迷L問資源。如果我們的網(wǎng)絡(luò)使用VLAN,請考慮服務(wù)器網(wǎng)段的隔離程度以及它在更廣泛的網(wǎng)絡(luò)結(jié)構(gòu)中的位置。
如果不需要IPv6,請將其關(guān)閉。應(yīng)小心指定服務(wù)器配置的名稱、域和 DNS服務(wù)器信息?!皀slookup(類Unix操作系統(tǒng)命令)”應(yīng)該用于驗(yàn)證名稱解析是否在兩個(gè)或多個(gè)DNS服務(wù)器上正常工作。
2、用戶偏好
在繼續(xù)之前,我們必須先更新服務(wù)器上的根密碼。我們的密碼應(yīng)包括大小寫字母以及數(shù)字、符號(hào)和標(biāo)點(diǎn)符號(hào)的組合。如果密碼不包含至少八個(gè)字符,則本地使用的帳戶的歷史記錄、鎖定和復(fù)雜性要求可能會(huì)受到影響。需要更高權(quán)限的用戶應(yīng)該被授予sudo訪問權(quán)限,作為替代用戶,而不是依賴root用戶。
3、套餐
在設(shè)置服務(wù)器時(shí),無論出于何種原因,安裝未包含在分發(fā)版中的任何我們需要的額外軟件。PHP、NGINX、MongoDB 以及pear等各種配套工具是最常用的軟件包。較小的服務(wù)器占用空間將消除不再需要的軟件,因此,從服務(wù)器中刪除不需要的包將有利于提高性能。如果我們很快再次需要它們的專門服務(wù),使用我們的發(fā)行版的包管理系統(tǒng)可以很容易地重新安裝它們。
4、防火墻和iptables
即使默認(rèn)的iptables設(shè)置沒有打開您需要的端口,仔細(xì)檢查設(shè)置以確保它們正確始終是個(gè)好主意。為了讓我們的服務(wù)器保持良好運(yùn)行,應(yīng)該只打開必要的端口。如果防火墻保護(hù)我們的服務(wù)器,請考慮阻止除最關(guān)鍵流量之外的所有流量。即使我們的iptables/防火墻默認(rèn)配置為受限,也請記住打開我們的服務(wù)器配置所需的一切。
5、安裝和配置
仔細(xì)檢查以查看是否必須更新任何已安裝的服務(wù)器軟件包。因此,跟上最新的內(nèi)核和默認(rèn)軟件至關(guān)重要。如有必要,可以使用早期版本,但我們建議使用最新版本,因?yàn)樗踩?。為希望保持軟件最新的個(gè)人提供了自動(dòng)更新機(jī)制。
安裝必要的軟件包后,我們必須將服務(wù)器的軟件保持在最新狀態(tài)。我們添加的所有內(nèi)容,包括內(nèi)核和任何預(yù)配置的設(shè)置。始終使用最新的生產(chǎn)版本以確保系統(tǒng)安全。在絕大多數(shù)情況下,將提供我們的包管理系統(tǒng)支持的最新版本。我們應(yīng)該在包管理工具中為自己在此服務(wù)器上托管的服務(wù)設(shè)置自動(dòng)更新。
6、設(shè)置NTP協(xié)議
我們的服務(wù)器時(shí)間可以使用NTP服務(wù)器同步,是否要使用每個(gè)人都可以訪問的外部NTP時(shí)間服務(wù)器取決于自己。最重要的是保持服務(wù)器時(shí)鐘不偏離實(shí)際時(shí)間。例如,由于服務(wù)器和驗(yàn)證它們的基礎(chǔ)設(shè)施之間的時(shí)間偏差,可能會(huì)出現(xiàn)驗(yàn)證問題。盡管看起來很簡單,但必須仔細(xì)維護(hù)這一關(guān)鍵基礎(chǔ)設(shè)施。
7、增加服務(wù)器配置的SSH安全性
就像Windows有一個(gè)命令行界面一樣,Linux也有一個(gè)。SSH是一種流行的登錄Linux系統(tǒng)以進(jìn)行管理的方法。作為一項(xiàng)安全預(yù)防措施,請確保限制root用戶的SSH訪問可以防止遠(yuǎn)程攻擊。
此外,如果一組特定的用戶或客戶端使用我們的服務(wù)器,可以限制對某些ip地址的訪問。更改默認(rèn)的SSH端口號(hào)可以保護(hù)我們免受黑客和罪犯的侵害,因?yàn)楹唵蔚膾呙杩赡軙?huì)顯示我們的開放端口。服務(wù)器的配置并不像我們想象的那么復(fù)雜,但確實(shí)需要非常注意細(xì)節(jié)以提供最高級(jí)別的安全性。使用基于證書的身份驗(yàn)證和禁用密碼身份驗(yàn)證是防止SSH攻擊的最佳方法。
8、守護(hù)進(jìn)程設(shè)置和配置
刪除所有軟件包后,請確保將必要的應(yīng)用程序設(shè)置為在我們重新啟動(dòng)時(shí)自動(dòng)啟動(dòng)。為避免不必要的守護(hù)進(jìn)程,請務(wù)必停用它們。盡可能減少服務(wù)器的活動(dòng)足跡,只留下應(yīng)用程序所需的攻擊面區(qū)域。所有剩余的服務(wù)都應(yīng)該盡可能加固,以確保長期穩(wěn)定。
9、使用SELinux和其他工具保護(hù)您的系統(tǒng)
Secure Linux (Security-Enhanced Linux)是Linux內(nèi)核的強(qiáng)化工具,讓管理員可以更好地控制誰可以訪問他們的服務(wù)器。它是SELinux、Secure Linux (SELinux)的真實(shí)實(shí)現(xiàn)。請使用狀態(tài)實(shí)用程序確定我們的系統(tǒng)是否正在運(yùn)行SELinux。如果大家收到一條通知說SELinux正在保護(hù)我們的數(shù)據(jù),那么就是安全的。嚴(yán)格來說,“禁用”一詞意味著 SELinux不再處于活動(dòng)狀態(tài),不再保護(hù)我們與服務(wù)器配置有關(guān)。
例如,Linux發(fā)行版依賴于MAC(強(qiáng)制訪問控制)。它是防止未經(jīng)授權(quán)訪問我們的計(jì)算機(jī)資源的防御措施。最好在啟用SELinux的情況下測試您的設(shè)置,以確保沒有任何合法內(nèi)容被阻止。MySQL和Apache等其他應(yīng)用程序可能會(huì)以各種方式得到強(qiáng)化。
10、記錄
在安裝該程序之前,請確保我們需要的日志記錄級(jí)別已啟用并且具有處理它的資源。創(chuàng)建日志記錄結(jié)構(gòu)后,我們將需要對該服務(wù)器進(jìn)行故障排除,這是現(xiàn)在開始的絕佳時(shí)機(jī)。大多數(shù)應(yīng)用程序都允許自定義日志記錄設(shè)置,但在數(shù)據(jù)過少和過多之間取得適當(dāng)?shù)钠胶饪赡苄枰M(jìn)行試驗(yàn)。存在許多第三方日志記錄系統(tǒng),它們可以幫助處理從數(shù)據(jù)聚合到數(shù)據(jù)呈現(xiàn)的任何事情,但必須首先考慮每個(gè)環(huán)境的需求。之后,您將能夠更好地找到所需的裝備。
一開始,應(yīng)用這些程序可能需要一些時(shí)間。應(yīng)建立初始服務(wù)器設(shè)置策略以確保新計(jì)算機(jī)在我們的環(huán)境中的長期生存能力。如果我們的服務(wù)器受到攻擊,不采取任何這些步驟的后果可能是災(zāi)難性的。即使確實(shí)發(fā)生了數(shù)據(jù)泄露,如果我們遵循這些建議,黑客也很難獲取自己的個(gè)人信息。
以上是網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧分享,希望對大家會(huì)有所幫助。
Copyright ? 2013-2020. All Rights Reserved. 恒訊科技 深圳市恒訊科技有限公司 粵ICP備20052954號(hào) IDC證:B1-20230800.移動(dòng)站