目前，我們正處於一個(gè)時(shí)代，企業(yè)在追求有價(jià)值和敏感的數(shù)據(jù)的推動(dòng)下，面臨安全漏洞的不懈威脅，這些數(shù)據(jù)可以帶來可觀的財(cái)務(wù)收益。

令人震驚的是，即使有網(wǎng)絡(luò)攻擊的高風(fēng)險(xiǎn)，許多組織仍然沒有準(zhǔn)備好或選擇忽略警告信號(hào)，通常會(huì)導(dǎo)致災(zāi)難性的結(jié)果。

2016年， Equifax遭受了巨大的數(shù)據(jù)洩露，由於一系列的安全故障，導(dǎo)致數(shù)百萬敏感的客戶記錄盜竊。一項(xiàng)全面的調(diào)查表明，如果Equifax的安全團(tuán)隊(duì)制定了適當(dāng)?shù)陌踩珔f(xié)議，則可以避免這種違規(guī)行為。

實(shí)際上，在事件發(fā)生之前， Equifax在其在線門戶網(wǎng)站中可能會(huì)損害其安全性的可能漏洞。不幸的是，這種警告被忽略了，導(dǎo)致嚴(yán)重影響。隨著時(shí)間的流逝，許多其他大型公司也受到越來越複雜的攻擊的打擊。

強(qiáng)調(diào)確保Linux系統(tǒng)的重要性不能被誇大。您可能不是一個(gè)主要的金融實(shí)體，是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，但這並不意味著您應(yīng)該自滿。

在設(shè)置Linux服務(wù)器時(shí)，尤其是將連接到Internet並遠(yuǎn)程訪問的服務(wù)器時(shí)，安全性必須是當(dāng)務(wù)之急。擁有基本的安全知識(shí)對(duì)於保護(hù)Linux服務(wù)器至關(guān)重要。

在本指南中，我們將探討一些可以幫助保護(hù)您的系統(tǒng)免於未經(jīng)授權(quán)訪問的基本安全實(shí)踐。

常見的網(wǎng)絡(luò)攻擊方法

黑客可以利用各種技術(shù)來訪問您的Linux服務(wù)器。在我們深入研究可以採取的保護(hù)措施之前，讓我們檢查一下攻擊者用於違反系統(tǒng)的一些典型攻擊方法。

1。蠻力攻擊

蠻力攻擊涉及攻擊者試圖通過反複試驗(yàn)猜測(cè)登錄憑據(jù)。通常，自動(dòng)腳本用於重複嘗試不同的用戶名和密碼組合，直到找到正確的用戶名和密碼組合為止。當(dāng)使用虛弱或易於猜測(cè)的密碼時(shí)，此方法最有效。

2。密碼實(shí)踐不佳

如前所述，使用較弱的憑據(jù)，例如Short，易於猜測(cè)的密碼（例如密碼1234）可能會(huì)使您的系統(tǒng)處於危險(xiǎn)之中。密碼越簡(jiǎn)單且不復(fù)雜，您的系統(tǒng)越有可能受到損害。

3。網(wǎng)絡(luò)釣魚騙局

網(wǎng)絡(luò)釣魚是一種社會(huì)工程策略，攻擊者發(fā)送的電子郵件似乎來自可信賴的來源，例如已知的聯(lián)繫人或業(yè)務(wù)合作夥伴。

這些電子郵件通常包含指示，促使收件人揭示敏感信息或包含指向模仿合法網(wǎng)站的假網(wǎng)站的鏈接。當(dāng)受害人登錄時(shí)，他們的憑證將被攻擊者捕獲。

4。惡意軟件

惡意軟件是惡意軟件的縮寫，包括病毒，特洛伊木馬，蠕蟲和勒索軟件等廣泛的有害程序，旨在快速傳播並持有受害者的勒索系統(tǒng)。

這些攻擊會(huì)嚴(yán)重破壞組織的運(yùn)營。某些類型的惡意軟件可以嵌入到文件中，例如圖像，視頻，Word文檔或PowerPoint演示文稿，並通過網(wǎng)絡(luò)釣魚電子郵件發(fā)送。

5。拒絕服務(wù)（DOS）攻擊

DOS攻擊旨在破壞服務(wù)器或計(jì)算機(jī)系統(tǒng)的可用性。攻擊者用過多的流量或PING數(shù)據(jù)包淹沒了服務(wù)器，使用戶無法訪問其長(zhǎng)時(shí)間。

DDO （分佈式拒絕服務(wù)）攻擊是DOS的一種變體，其中多個(gè)系統(tǒng)被用來充滿流量的目標(biāo)，因此無法使用。

6。 SQL注射攻擊

SQL代表結(jié)構(gòu)化查詢語言，該語言用於與數(shù)據(jù)庫進(jìn)行交互。它允許用戶在數(shù)據(jù)庫中創(chuàng)建，刪除和修改記錄。許多服務(wù)器使用依靠SQL進(jìn)行數(shù)據(jù)管理的關(guān)係數(shù)據(jù)庫。

SQL注入攻擊利用了SQL中已知的漏洞，以迫使服務(wù)器通過插入惡意SQL代碼來揭示其通常不會(huì)的敏感數(shù)據(jù)庫信息。如果數(shù)據(jù)庫包含敏感信息，例如信用卡號(hào)，社會(huì)安全號(hào)碼和密碼，這將是一個(gè)嚴(yán)重的威脅。

7.中間人（MITM）攻擊

當(dāng)攻擊者攔截兩方之間的通信以竊聽或改變流量時(shí)，通常會(huì)縮寫為MITM 。目的是監(jiān)視受害者，篡改數(shù)據(jù)或竊取機(jī)密信息。

確保Linux服務(wù)器的基本技巧

現(xiàn)在，我們已經(jīng)審查了攻擊者可能違反您的系統(tǒng)的各種方式，讓我們仔細(xì)研究您可以採取的一些基本步驟來保護(hù)您的系統(tǒng)。

1。物理安全

通常被忽略的是，服務(wù)器的物理位置和保護(hù)很重要，尤其是在現(xiàn)場(chǎng)託管的情況下。

確保將服務(wù)器安置在具有備用電源，冗餘Internet訪問和足夠冷卻系統(tǒng)的安全數(shù)據(jù)中心中。訪問該設(shè)施僅應(yīng)僅限於授權(quán)人員。

2。保持系統(tǒng)存儲(chǔ)庫和軟件包更新

設(shè)置服務(wù)器後，第一步應(yīng)該是更新存儲(chǔ)庫和軟件包。更新有助於修補(bǔ)當(dāng)前版本的已安裝軟件中存在的任何漏洞。

對(duì)於Ubuntu / Debian發(fā)行：

 <code>$ sudo apt update -y $ sudo apt upgrade -y</code>

用於RHEL / CENTOS分佈：

 <code>$ sudo yum upgrade -y</code>

3。激活防火牆

防火牆是控制傳入和傳出網(wǎng)絡(luò)流量的工具。安裝像UFW這樣的可靠防火牆並配置它以僅允許必要的服務(wù)及其各自的端口。

例如，要在Ubuntu上安裝UFW，請(qǐng)使用以下命令：

 <code>$ sudo apt install ufw</code>

安裝後，將其激活：

 <code>$ sudo ufw enable</code>

要允許HTTPS這樣的服務(wù)，請(qǐng)運(yùn)行：

 <code>$ sudo ufw allow https</code>

另外，您可以允許相應(yīng)的端口443 ：

 <code>$ sudo ufw allow 443/tcp</code>

然後重新加載防火牆以進(jìn)行更改以生效：

 <code>$ sudo ufw reload</code>

檢查防火牆狀態(tài)，包括允許的服務(wù)和開放端口：

 <code>$ sudo ufw status</code>

4。禁用未使用的服務(wù)和端口

此外，在防火牆上禁用任何未使用或不必要的服務(wù)和端口。保持不必要的端口會(huì)增加潛在攻擊的風(fēng)險(xiǎn)。

5。保護(hù)SSH協(xié)議

默認(rèn)的SSH配置不安全，需要調(diào)整。確保實(shí)施以下內(nèi)容：

• 防止root用戶遠(yuǎn)程記錄。
• 啟用基於SSH密鑰的身份驗(yàn)證而不是基於密碼的登錄。

要禁用根登錄，請(qǐng)編輯/etc/ssh/sshd_config文件並設(shè)置以下參數(shù)：

 <code>PermitRootLogin no</code>

禁用遠(yuǎn)程root訪問後，創(chuàng)建常規(guī)用戶並授予他們sudo特權(quán)：

 <code>$ sudo adduser user $ sudo usermod -aG sudo user</code>

要設(shè)置基於密鑰的身份驗(yàn)證，請(qǐng)?jiān)诹硪慌_(tái)Linux計(jì)算機(jī)上生成SSH鍵對(duì)，可以避免您的本地計(jì)算機(jī)：

 <code>$ ssh-keygen</code>

然後將公共密鑰複製到您的服務(wù)器：

 <code>$ ssh-copy-id user@server-IP</code>

登錄後，通過編輯/etc/ssh/sshd_config文件和設(shè)置來禁用密碼身份驗(yàn)證：

 <code>PasswordAuthentication no</code>

注意不要丟失私有SSH鍵，因?yàn)檫@將是您訪問服務(wù)器的唯一方法。保持安全並考慮將其備份到雲(yún)中。

最後，重新啟動(dòng)SSH服務(wù)以應(yīng)用這些更改：

 <code>$ sudo systemctl restart sshd</code>

概括

在當(dāng)今不斷發(fā)展的網(wǎng)絡(luò)威脅的景觀中，確保Linux服務(wù)器的安全性應(yīng)成為重中之重。在本指南中，我們概述了一些基本但基本的安全實(shí)踐，以幫助保護(hù)您的服務(wù)器。在下一部分中，我們將探索其他策略，以進(jìn)一步加強(qiáng)服務(wù)器的防禦能力。

成為L(zhǎng)inux基金會(huì)認(rèn)證的IT合夥人（LFCA）

以上是LFCA：保護(hù)Linux系統(tǒng)的基本安全提示 - 第17部分的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！