Linux服務器的安全防護都有哪些措施
一�����、強化密碼強度
讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛�����。我們立志把好的技術通過有效����、簡單的方式提供給客戶�����,將通過不懈努力成為客戶在信息化領域值得信任����、有價值的長期合作伙伴��,公司提供的服務項目有:域名注冊����、虛擬空間、營銷軟件����、網站建設、棗莊網站維護����、網站推廣。
只要涉及到登錄�����,就需要用到密碼,如果密碼設定不恰當��,就很容易被黑客破解��,如果是超級管理員(root)用戶�,如果沒有設立良好的密碼機制,可能給系統(tǒng)造成無法挽回的后果�����。
很多用戶喜歡用自己的生日����、姓名��、英文名等信息來設定��,這些方式可以通過字典或者社會工程的手段去破解�����,因此建議用戶在設定密碼時�����,盡量使用非字典中出現(xiàn)的組合字符,且采用數(shù)字與字符�、大小寫相結合的密碼,增加密碼被破譯的難度��。
二���、登錄用戶管理
進入Linux系統(tǒng)前�����,都是需要登錄的���,只有通過系統(tǒng)驗證后,才能進入Linux操作系統(tǒng)��,而Linux一般將密碼加密后��,存放在/etc/passwd文件中��,那么所有用戶都可以讀取此文件�,雖然其中保存的密碼已加密,但安全系數(shù)仍不高���,因此可以設定影子文件/etc/shadow�,只允許有特殊權限的用戶操作。
三����、賬戶安全等級管理
在Linux操作系統(tǒng)上,每個賬戶可以被賦予不同的權限����,因此在建立一個新用戶ID時,系統(tǒng)管理員應根據需要賦予該賬號不同的權限��,且歸并到不同的用戶組中����。每個賬號ID應有專人負責,在企業(yè)中����,如果負責某個ID的員工離職,該立即從系統(tǒng)中刪除該賬號����。
四�����、謹慎使用"r"系列遠程程序管理
在Linux操作系統(tǒng)中,有一系列r開頭的公用程序���,如rlogin�、rcp等�,非常容易被不法分子用來攻擊我們的系統(tǒng),因此千萬不要將root賬號開放給這些公用程序��,現(xiàn)如今很多安全工具都是針對此漏洞而設計的��,比如PAM工具�,就可以將其有效地禁止掉。
五����、root用戶權限管理
root可謂是Linux重點保護對象,因為其權利是最高的�����,因此千萬不要將它授權出去�,但有些程序的安裝、維護必須要求是超級用戶權限�,在此情況下,可以利用其他工具讓這類用戶有部分超級用戶的權限�����。sudo就是這樣的工具。
六�����、綜合防御管理
防火墻���、IDS等防護技術已成功應用到網絡安全的各個領域����,且都有非常成熟的產品���,需要注意的是:在大多數(shù)情況下��,需要綜合使用這兩項技術��,因為防火墻相當于安全防護的第一層�,它僅僅通過簡單地比較IP地址/端口對來過濾網絡流量�,而IDS更加具體,它需要通過具體的數(shù)據包(部分或者全部)來過濾網絡流量��,是安全防護的第二層����。綜合使用它們,能夠做到互補�����,并且發(fā)揮各自的優(yōu)勢��,最終實現(xiàn)綜合防御����。
服務器安全應該注意哪些方面
技術在近年來獲得前所未有的增長。云技術如今已被運用到銀行���、學校�、政府以及大量的商業(yè)組織��。但是云計算也并非萬能的��,和其他IT部署架構一樣存在某些難以彌補的缺陷����。例如公有云典型代表:服務器,用戶數(shù)據存儲在云計算基礎平臺的存儲系統(tǒng)中���,但敏感的信息和應用程序同樣面臨著網絡攻擊和黑客入侵的威脅��。以下就是壹基比小喻要講的服務器面臨的九大安全威脅���。
哪些因素會對服務器安全有危害����?
一�、數(shù)據漏洞
云環(huán)境面臨著許多和傳統(tǒng)企業(yè)網絡相同的安全威脅,但由于極大量的數(shù)據被儲存在服務器上���,服務器供應商則很可能成為盜取數(shù)據的目標�。供應商通常會部署安全控件來保護其環(huán)境����,但最終還需要企業(yè)自己來負責保護云中的數(shù)據。公司可能會面臨:訴訟����、犯罪指控、調查和商業(yè)損失���。
二����、密碼和證書
數(shù)據漏洞和其他攻擊通常來源于不嚴格的認證����、較弱的口令和密鑰或者證書管理。企業(yè)應當權衡集中身份的便利性和使儲存地點變成攻擊者首要目標的風險性�����。使用服務器�����,建議采用多種形式的認證��,例如:一次性密碼����、手機認證和智能卡保護。
三�����、界面和API的入侵
IT團隊使用界面和API來管理和與服務器互動����,包括云的供應����、管理���、編制和監(jiān)管���。API和界面是系統(tǒng)中最暴露在外的一部分,因為它們通?�?梢酝ㄟ^開放的互聯(lián)網進入�。服務器供應商,應做好安全方面的編碼檢查和嚴格的進入檢測�。運用API安全成分,例如:認證��、進入控制和活動監(jiān)管�����。
四�、已開發(fā)的系統(tǒng)的脆弱性
企業(yè)和其他企業(yè)之間共享經驗、數(shù)據庫和其他一些資源,形成了新的攻擊對象��。幸運的是����,對系統(tǒng)脆弱性的攻擊可以通過使用“基本IT過程”來減輕。盡快添加補丁——進行緊急補丁的變化控制過程保證了補救措施可以被正確記錄����,并被技術團隊復查����。容易被攻擊的目標:可開發(fā)的bug和系統(tǒng)脆弱性。
五����、賬戶劫持
釣魚網站、詐騙和軟件開發(fā)仍舊在肆虐����,服務器又使威脅上升了新的層次,因為攻擊者一旦成功**�����、操控業(yè)務以及篡改數(shù)據,將造成嚴重后果�����。因此所有云服務器的管理賬戶����,甚至是服務賬戶,都應該形成嚴格監(jiān)管�����,這樣每一筆交易都可以追蹤到一個所有者�����。關鍵點在于保護賬戶綁定的安全認證不被竊取����。有效的攻擊載體:釣魚網站、詐騙�、軟件開發(fā)。
六�����、居心叵測的內部人員
內部人員的威脅來自諸多方面:現(xiàn)任或前員工、系統(tǒng)管理者�、承包商或者是商業(yè)伙伴。惡意的來源十分廣泛�,包括竊取數(shù)據和報復。單一的依靠服務器供應商來保證安全的系統(tǒng)�,例如加密,是最為危險的����。有效的日志、監(jiān)管和審查管理者的活動十分重要����。企業(yè)必須最小化暴露在外的訪問:加密過程和密鑰�����、最小化訪問�。
七、APT病毒
APT通過滲透服務器中的系統(tǒng)來建立立足點��,然后在很長的一段時間內悄悄地竊取數(shù)據和知識產權����。IT部門必須及時了解最新的高級攻擊����,針對服務器部署相關保護策略(ID:ydotpub)���。此外�����,經常地強化通知程序來警示用戶��,可以減少被APT的迷惑使之進入���。進入的常見方式:魚叉式網絡釣魚、直接攻擊�����、USB驅動�。
八、永久性的數(shù)據丟失
關于供應商出錯導致的永久性數(shù)據丟失的報告已經鮮少出現(xiàn)���。但居心叵測的黑客仍會采用永久刪除云數(shù)據的方式來傷害企業(yè)和云數(shù)據中心��。遵循政策中通常規(guī)定了企必須保留多久的審計記錄及其他文件�����。丟失這些數(shù)據會導致嚴重的監(jiān)管后果�。建議云服務器供應商分散數(shù)據和應用程序來加強保護:每日備份、線下儲存��。
九���、共享引發(fā)潛在危機
共享技術的脆弱性為服務器帶來了很大的威脅�����。服務器供應商共享基礎設施�����、平臺以及應用程序,如果脆弱性出現(xiàn)在任何一層內����,就會影響所有。如果一個整體的部分被損壞——例如管理程序��、共享的平臺部分或者應用程序——就會將整個環(huán)境暴露在潛在的威脅和漏洞下
1�����、如何保護企業(yè)服務器的安全呢?
增強網絡整體安全
很多網管往往在維護網絡安全方面存在這樣的誤區(qū)���,認為只要將服務器單機打好補丁����,安裝好防護墻
����、操作系統(tǒng)定期升級就可以安枕無憂了??蓪嶋H上,很多黑客和病毒并非直接攻擊服務器���,而是通過入侵
其他計算機作為跳板來攻擊整個網絡的����。目前很多網絡都是通過域的方式來管理����,一旦黑客或病毒成功入
侵與服務器有信任關系的一臺計算機,那么從這臺計算機攻擊服務器將會變得非常簡單�。所以要辦證整個
網絡的安全要從根本來考慮�。
首先是安全管理��,要從管理角度出發(fā)�,利用規(guī)章制度等文字性的材料規(guī)范,約束各種針對計算機網絡
的行為�����,例如禁止員工隨便下載非法程序��,禁止網絡管理員以外的人員進入中心機房����,完善網絡管理員的
值班制度等等。
其次是安全技術�,要從技術角度出發(fā),利用各種軟件和硬件����,各種技巧和方法來管理整個計算機網絡����,
殺毒軟件與防火墻雙管齊下力保網絡的安全。
這兩方面缺一不可����,試想如果只有安全技術的支持而在規(guī)章制度上沒有進行任何約束�,即使剛開始安
全做的很到位�,但員工隨意下載非法軟件,隨便關閉殺毒軟件的保護的話����,整個網絡安全形同虛設。而只
有嚴格的規(guī)章沒有技術作為支持的話病毒和黑客也會通過網絡漏洞輕松入侵���。因此安全管理與安全技術兩
方面相輔相成�����,網絡管理員對于這兩方面都要抓�����,力度都要硬���。
加強服務器本地文件格式安全級別
目前服務器都采用的是windows 2000以上版本,所以在加強安全級別上需要利用windows 2000 server
提供的用戶權限功能�,根據每個用戶的特點單獨地為其制定訪問服務器的特殊使用權限,從而避免因使用
統(tǒng)一的訪問服務器權限而帶來的安全隱患。
為了確保服務器的安全首先要在本地文件格式上做文章���,即將FAT格式轉換為安全系數(shù)更高的NTFS文
件格式�。畢竟對于黑客來說存儲在FAT格式的磁盤分區(qū)里的數(shù)據要比存儲在NTFS格式的磁盤分區(qū)的數(shù)據更容
易訪問��,也更容易破壞�,另外目前所有安全軟件及加密軟件也都是針對NTFS格式來說的,對FAT格式的保護
非常薄弱��。
另外最好使用專門的網絡檢測軟件對整個網絡的運行情況進行7*24小時的不間斷監(jiān)視����,尤其要關注“
非法入侵”和“對服務器的操作”兩方面的報告,筆者做在的公司就使用IISLOCK來監(jiān)視網頁服務器的正常
運行和MRTG來檢測整個網絡的流量�����。
定期備份數(shù)據
數(shù)據的保護是一個非常重要的問題���,也許服務器的系統(tǒng)沒有崩潰但里面存儲的數(shù)據發(fā)生了丟失���,這種
情況所造成的損失會更大,特別對于數(shù)據庫服務器來說也許存儲的是幾年的珍貴數(shù)據����。怎么才能有效的保
護數(shù)據?備份是唯一的選擇。以往對于數(shù)據的備份都是采取在服務器上另外一個區(qū)建立備份文件夾甚至是建
立一個備份區(qū)�。不過這樣備份方法有一個非常大的弊端,那就是一旦服務器的硬盤出現(xiàn)問題所有分區(qū)的數(shù)
據都將丟失�����,從而備份沒有了保證����。按照“不要把所有雞蛋放到同一個籃子”的理論我們應該使用單獨的
專門設備保存這些珍貴數(shù)據。
使用B服務器保存A服務器的數(shù)據����,同時用A服務器保存B服務器的文件,這種交叉?zhèn)浞莸姆椒ㄔ谝欢螘r
間非常流行�����。另外還有一個有效的方法就是使用磁帶來保存珍貴數(shù)據�,不過這樣的投資會比較大。
就拿采用的備份方式來說����,采用的備份方式是通過網絡存儲設備NAS來保存的,將單獨的NAS設備連接
到網絡中,定期通過工具將珍貴數(shù)據寫入到NAS的硬盤中���,由于NAS設備自身使用了RAID方式進行數(shù)據的冗
余����,所以數(shù)據得到了最好的保證����。
但是數(shù)據備份也存在巨大的安全漏洞,因為備份好的數(shù)據也有可能被盜竊�����,所以在備份時應該對備份
介質進行有效的密碼保護�����,必要時還需要使用加密軟件對這些數(shù)據進行加密����,這樣即使數(shù)據被盜也不會出現(xiàn)
數(shù)據泄露的問題。易信科技���,望采納����。
網頁題目:企業(yè)服務器安全防護要求 服務器防護用什么設備
標題URL:
http://weahome.cn/article/dddpiep.html
重慶分公司
重慶分公司
