如何保护你的Linux 服务器

如何保护你的Linux 服务器

服务器安全描述了用于保护企业服务器免受未经授权的访问和其他网络威胁的软件、工具和流程。这是大多数系统管理员和网络安全团队的关键要求。 基于操作系统强大的默认权限结构,Linux 的安全性被认为是好的。但是,您仍然必须采用最佳实践来保持服务器安全有效地运行。无论您的 Linux 服务器运行的是 Ubuntu、Debian 还是其他发行版,请按照以下步骤来加强您的 Linux 服务器的默认配置。

如何保护你的Linux 服务器-美联科技

1.只安装需要的包

您应该只安装您的业务需要运行的软件包,以保护您的服务器的功能。Linux 服务器发行版已经安装了各种常用的软件包,例如 adduser 和 base-passwd。在安装过程中,用户可以选择安装其他软件包,包括 Open SSH 服务器、DNS 服务器、LAMP 堆栈和打印服务器。

您还可以通过默认的包管理系统添加更多包。软件包可以从官方存储库中提取,也可以通过添加 PPA(个人软件包档案)(由 Linux 用户创建的存储库)来访问更广泛的程序选择。

但是,您安装的软件包越多,尤其是来自第三方存储库的软件包,您可能会在系统中引入更多漏洞。将已安装的软件包保持在合理的最低限度,并定期消除不需要的软件包。

2.禁用root登录

Linux 发行版包括一个名为“root”的超级用户,其中包含提升的管理权限。启用 root 登录可能会带来安全风险并降低托管在服务器上的小型企业云资源的安全性,因为黑客可以利用此凭据访问服务器。为了加强您的服务器安全,您必须禁用此登录。

禁用 root 帐户的过程取决于您使用的 Linux 发行版 - 您必须首先创建一个新用户帐户并分配提升的 (sudo) 权限,这样您仍然可以安装软件包和执行其他管理操作在服务器上。或者,您可以将这些权限分配给现有用户,以确保安全的服务器登录。

3.配置2FA

双因素身份验证(2FA) 在用户登录服务器之前需要密码和第二个令牌,从而极大地提高了用户访问的安全性。

要在 Debian 服务器和 Debian 派生发行版上设置 2FA,您应该安装 libpam-google-authenticator 软件包。该软件包可以显示二维码或生成可添加到软件身份验证设备(例如 Google Authenticator 或 Authy)的秘密令牌。

2FA 可以与 SSH(安全外壳)结合使用,以在登录服务器时强制要求第二个凭据。SSH 是一种创建与远程服务器的基于文本的加密连接的协议。总之,这些使服务器更能抵抗暴力破解和未经授权的登录尝试,并可以提高小型企业的云安全性。

4. 执行良好的密码卫生

良好的密码卫生不仅与登录其个人计算机或 SaaS 应用程序的用户有关。对于服务器,管理员还需要确保用户使用足够严格的密码。这种做法使他们更能抵抗攻击。

强制执行最小加密强度

您的员工使用的密码应高于一定的加密强度,例如,至少 12 个字符,字母、数字和符号的随机组合。要在您的企业中强制执行此操作,请考虑实施一种密码管理工具,该工具可以验证密码的安全级别或生成足够复杂的密码。

强制执行定期密码轮换

确保您的员工定期更新所有应用程序和登录密码,尤其是那些具有管理服务器访问权限的密码。默认情况下,大多数 Linux 发行版都包含一个用于修改密码到期和老化信息的实用程序。该程序可以强制用户定期重置密码。Chage 就是这样一种 CLI(命令行界面)。

管理员可以强制用户在一定天数后更改密码,例如,使用 -W 运算符:

改变 -W 10 丹尼尔

从提升的权限运行,此命令将强制用户 'daniel' 在 10 天后更改其密码。强制密码更改也可以在洗澡或登录事件时强制执行。

5.服务器端杀毒软件

虽然 Linux 计算机被认为对病毒、恶意软件和其他形式的网络攻击具有相对抵抗力,但所有 Linux 端点(包括台式机)都应该运行防病毒保护。防病毒产品将增强其运行的任何服务器的防御能力。Avast Business的下一代 Linux 服务器防病毒软件支持 32 位和 64 位硬件,并具有通过 CLI 启动的按需扫描功能。

6.定期或自动更新

你不应该持有旧的、未打补丁的软件包,因为它们会给系统带来可能被网络犯罪分子利用的严重漏洞。为避免此问题,请确保您的服务器或服务器池定期更新。

许多 Linux 发行版,尤其是 Ubuntu,也在滚动发行周期中更新,包括长期 (LTS) 和短期发行版本。您的安全团队应该从一开始就考虑他们是否希望在他们的机器上运行最先进或稳定的软件,并配置适当的更新策略。

此外,许多 Linux 发行版包含用于应用自动更新的工具。例如,可用于 Debian 的 unattended-upgrades 软件包将以固定的时间间隔轮询更新并在后台自动应用它们。

7.启用防火墙

每台 Linux 服务器都应该运行防火墙作为抵御未经授权或恶意连接请求的初始防线。UFW(简单防火墙)是一种常见的基本 Linux 防火墙。您应该检查防火墙策略以确保它对您的业务操作环境有意义。

如今,分布式拒绝服务(DDoS) 攻击也对一些运营商构成威胁。面向 Internet 的 Linux 服务器可以放置在代理服务之后,以检查和清理入站流量,从而提供 DDoS 保护。此外,还有一些可以直接安装到服务器上的开源脚本。

8. 备份你的服务器

当涉及到计算机系统时,总会有一些事情可能出错,并且包可能会产生依赖性问题和其他问题。因此,保留将更改回滚到服务器的能力至关重要。

一个强大的备份方法应该包括为每个主要受保护设备创建两个副本,一个异地副本。更简单的系统回滚工具可用于 Linux 服务器,可以帮助自动化此过程并允许更快的灾难恢复 (DR)。

牢记安全

Linux 可能是您的小型企业或企业的最佳服务器,因为发行版通常具有自动配置的良好安全状态。但是,为了显着提高防御能力并最大限度地减少恶意用户获得访问权限的机会,您必须通过应用最佳实践技巧来强化 Linux 服务器。使用服务器端防病毒工具(例如 Avast Business Linux Antivirus)应该始终是多层安全策略的一部分。

客户经理