无论您经营的是小型个人博客还是日常流量很高的大型企业电子商务网站,安全性都是每个人都关心的问题。虽然粗略的第三方有时间和资源来利用他们在您的系统中发现的任何弱点,但您也可以采取其他措施来提高服务器的安全性并阻止它们。以下是您可以采取的措施来加强保护。
不用说,所有过时的程序、应用程序、附加组件,甚至操作系统都会带来高安全风险。开发人员提供频繁的更新,不仅可以调整某些设置或引入新功能,还可以修补任何已知的安全漏洞。
每当有新更新出现时更新所有内容,或者如果您发现它很麻烦,只需自动执行此任务即可。如果您在基于 Debian 或 Ubuntu 的操作系统上运行,您可以选择“apt-get”,对于基于 centos 和 RHEL 的操作系统,可以使用“rpm/yum”包管理器。这些非常方便,因为它们还可以通过电子邮件通知您有关更新以及正在更改/修复的内容。另一种自动更新的简单方法是设置 cronjobs。
虽然保持软件更新是提高 VPS 服务器安全性的核心,但您还应该卸载所有未使用的软件。很可能大多数预装在某些发行版中的模块或包都是不需要的。如果您真的不需要或不使用它,您可能不会在新版本出现时急于更新它。确保你只运行你实际使用的服务,删除其余的,你就不必担心额外的弱点。
此外,不要安装服务器不需要的包、模块或软件。如果你真的想要一个特定的附加组件或应用程序,检查它是否有任何已知的安全漏洞。
另一个提高服务器安全性的好方法是更改默认的 SSH 端口,该端口通常设置为 22。许多用户忘记这样做,并且自然而然地,黑客通过编程机器人来利用这个错误来瞄准这个特定端口。但是机器人无法破解他们找不到的东西。
按照以下步骤更改默认 SSH 端口:
1.打开“/etc/ssh/sshd_config”配置文件。
2.找到以下行“# What ports, IPs and protocols we listen for”。它下面应该有“Port 22”。
3.将“22”更改为您选择的数字。不要输入系统已使用的号码!
4.保存并退出配置文件。
5.使用此命令重新启动服务:“etc/init.d/ssh restart”
当您请求 SSH 连接时,您只需指明新端口即可。
与默认的 SSH 端口一样,未使用和打开的网络端口也会给您的 VPS 服务器安全带来很大风险。您可以使用“nestat”命令检查当前打开了哪些端口。它还将显示哪个端口与哪个系统服务相关联。
挑出不需要的并设置“iptables”,这是一个基于规则的防火墙实用程序,可用于关闭打开的端口。您还可以使用“chkconfig”命令禁用任何不需要的服务。
虽然似乎每个人都已经知道拥有强密码策略至关重要,但这一点仍然需要重复——弱密码仍然是服务器安全的头号威胁。以下是一些可帮助您创建强密码的提示:
(1)让他们尽可能长
(2)不要使用可以在字典中找到的词
(3)避免使用流行文化参考或简单的数字放置
(4)混合使用大小写字母、符号和数字
记住永远不要使用相同的密码两次——系统上所有需要密码的东西都应该有一个唯一的密码。定期更换它们也是很好的做法,即每 3 周左右更换一次。
安全性不仅限于保护您自己免受可能的黑客攻击——您还必须保护您的数据安全。创建备份对所有类型的主机服务器都是必不可少的。您永远不知道您的服务器会出现什么问题,数据丢失会对您的声誉、信誉和利润造成极大的损害,尤其是当机密的客户信息面临风险时。
虽然大多数IDC服务提供商会代表您创建备份或为此任务提供额外服务,但不要只依赖您的主机。强烈建议您定期自己执行这些操作,理想情况下,它们应该存储在您的服务器之外的不同位置。
每个linux服务器都带有一个默认的“root”用户名,供用户登录系统。保持原样是非常危险的,因为黑客可以使用暴力攻击最终破解密码并获得访问权限。提高服务器安全性的方法是禁用“root”用户名的任何登录,并创建另一个具有适当权限的用户名。您必须使用“sudo”命令来执行所有根级命令。
要创建新用户,请键入以下命令:“adduser CustomUserName”。只需按照提示输入您的密码、名称等即可。不要忘记为这个新用户设置 root 权限。
如果您仍计划使用“root”登录,那么至少更改此用户名的密码。您可以通过键入此命令来执行此操作:“passwd root”。只需输入您的新密码两次。注意:出于安全原因,在您输入密码时不会显示密码。
虽然文件传输协议 (FTP) 是一种移动文件的便捷方式,但它是当今使用的最古老的协议之一。它没有适当的加密,并且在计算机程序拦截并记录通过您的网络的流量时容易受到数据包嗅探的攻击。这意味着第三方可以读取正在传输的数据。一些用户选择 FTPS,因为它应该可以提高安全性,但事实是它只加密凭据。
这就是创建“安全 FTP”或 SFTP 的原因,强烈建议用户切换到此协议。它加密凭据和文件,确保没有人可以读取它们。
防火墙本质上是服务器的看门人,允许或拒绝对系统的访问。防火墙可以阻止不需要的流量,并保护您免受 SQL 注入、HTTP 泛洪等攻击。无论您使用的是预装的还是自定义的,您仍应配置以下内容:
(1)流量过滤,使传入流量与您观察到的定义模式相匹配
(2)阻止某些 IP 地址
(3)关闭未使用的端口
·安装反恶意软件/防病毒程序
虽然防火墙会处理传入的流量,但它们并非万无一失,有害软件仍然可以通过。这就是为什么您还必须通过安装反恶意软件和防病毒程序来确保服务器上的所有内容都是安全的。他们将监控所有系统活动并隔离不需要的/可疑的文件。
这些证书完全加密所有发送到您的系统和从您的系统发送的数据。如果没有适当的解密密钥,没有人可以拦截信息,更不用说读取正在传输的内容了。这就是为什么安装这些对保护所有类型的主机服务器都至关重要。
最后,不要忘记监控您的服务器日志。您不仅会更好地了解您的系统,还会在出现问题或出现黑客/网络攻击企图时立即收到通知。在安全方面,最好尽可能地减少威胁并为任何事情做好准备,而不是争先恐后地挽救余波。
(注:本文属【恒创科技】原创,转载请注明出处!)