這是一個不錯的新 Linux 服務器……假如它發作了什麼事,那就太可惜了。開箱即用可能運行優良,但在將其投入生產之前,您需要采取 10 個步驟來確保其部署安全。這些步驟的細節可能因發行版而異,但從概念上講,它們適用于任何風格的 Linux。通過在新服務器上查抄這些步驟,您可以確保它們至少對最常見的進攻具有根本保衛。
1 – 用戶部署
假如它不是您的操縱系統建置的一部門,那麼您要做的第一件事便是更換 root 暗碼。這應該是閉口而喻的,但在例行服務器建置過程中可能會令人驚訝地被忽視。暗碼應至少為 8 個字符,採用大小寫字母、數字和符號的組合。假如您要採用本地帳戶,您還應該建置一個暗碼謀略,指定老化、鎖定、歷史和復雜性要求。在大多數場合下,您應該完全禁用 root 用戶,并為需要提拔權限的用戶建立具有 sudo 拜訪權限的非特權用戶帳戶。
2 – 網絡部署
您需要進行的最根本部署之一是通過為服務器分配 IP 地址和主機名來啟用網絡連結。對于大多數服務器,您需要採用靜態 IP,以便客戶端始終可以在同一地址找到資本。假如您的網絡採用 VLAN,請考慮服務器網段的隔離水平以及最合適的位置。假如您不採用 IPv6,請將其關閉。建置主機名、域和 DNS 服務器信息。應該採用兩個或更多 DNS 服務器來實現冗余,并且您應該測試 nslookup 以確保名稱分析正常工作。
3 – 包控制
假設您正在為特定目的建置新服務器,因此請確保鑣裝您可能需要的任何軟件包,假如它們不是您正在採用的發行版的一部門。這些可能是 PHP、MongoDB、ngnix 等應用程序包百家樂實戰經驗或 pear 等支援包。同樣,應刪除系統上安裝的任何無關軟件包以縮小服務器占用空間。所有這些都應該通過您的發行版的包控制辦理方案來完工,例如 yum 或 apt,以便在以后更輕松地進行控制。
4 – 更新安裝和部署
在服務器上安裝正確的軟件包后,您應該確保所有內容都已更新。不僅是您安裝的軟件包,還有內核和默認軟件包。除非您對特定版本有要求,否則應始終採用最新的生產版原來確保系統安全。通常,您的包控制辦理方案將提供最新的受支援版本。假如這樣做適用于您在此服務器上托管的服務,您還應該考慮在包控制工具中建置自動更新
5 – NTP 部署
部署您的服務器以將其時間同步到 NTP 服務器。假如您的環境有內部 NTP 服務器,它們可以是內部 NTP 服務器,也可以是任何人都可以採用的外部時間服務器。主要的是防範時鐘漂移,即服務器的時鐘偏離實際時間。這可能會導致許多疑問,包含有在授予拜訪權限之前丈量服務器和地位驗證根基設備之間的時間偏差的地位驗dg百家樂證疑問。這應該是一個簡樸的調換,但它是可信根基架構的關鍵部門。
6 – 防火墻和 iptables
依據您的發行版,iptables可能已經完全鎖定并要求您打開所需的內容,可是無論默認部署如何,您都應該始終察看它并確保它依照您想要的方式進行建置。請銘記始終採用最小權限原則,并且只打開該服務器上的服務絕對需要的那些端口。假如您的服務器位于某種專用防火墻的后面,請確保謝絕所有內容,但也謝絕那里的必須內容。假設你的 iptables/fireall 默認是限制性的,不要健忘打開你的服務器需要的東西來完工它的工作!
7 – 保衛 SSH
SSH 是 Linux 發行版的重要遠程拜訪想法,因此應該得到適當的保衛。縱然您禁用了該帳戶,您也應該禁用 root 遠程 SSH 的性能,以便萬一 root 由于某種理由在服務器上啟用,它仍然無法遠程利用。假如您有一組要連結的固定客戶端 IP,您還可以將 SSH 限制在某些 IP 范圍內。或者,您可以更換默認 SSH 端口以躲藏它,但厚道說,簡樸的掃描將向任何想要找到它的人揭示新的開放端口。最后,您可以完全禁用暗碼地位驗證并採用基于證書的地位驗證來進一步減少 SSH 被利用的時機。
8 – 守護程序部署
您已經百家樂押注法清理了軟件包,但將正確的應用程序建置為在重新啟動時自動啟動也很主要。請務必關閉您不需要的任何守護程序。安全服務器的一個關鍵是盡可能減少活動占用空間,因此唯一可用于進攻的外觀區域是應用程序所需的外觀區域。完工此操縱后,應盡可能強化剩余服務以確保彈性。
9 – SELinux 和進一步強化
假如您曾經採用過 Red Hat 發行版,那麼您可能認識SELinux,這是一種內核強化工具,可以保衛系統免受各種操縱的陰礙。SELinux 極度擅長防範未經授權的採用和拜訪系統資本。它在毀壞應用程序方面也很出色,因此請確保在啟用 SELinux 的場合下測試您的部署,并採用日志來確保沒有任何正當的被阻止。除此之外,您還需要研究強化任何應用程序,例如MySQL或Apache,由於每個應用程序都有一套最佳實踐可供遵循。
10 – 紀實
最后,您應該確保您需要的日志紀實等級已啟用并且您有足夠的資本用于它。您終極將對此服務器進行故障去除,所以目前幫自己一個忙,構建快速辦理疑問所需的日百家樂水錢志結構。大多數軟件都有可部署的日志紀實,但您需要反復試驗才能在信息不足和信息過多之間找到適當的均衡點。有很多第三方日志紀實工具可以協助完工從集合到可視化的所有工作,但首要需要考慮每個環境的需求。然后,您可以找到可以協助您填充它們的工具。
這些步驟中的每一個都可能需要一些時間來實施,尤其是第一次。可是通過創建初始服務器部署例程,您可以確保環境中的新機械具有彈性。假如您的服務器曾經是進攻的目標,那麼不采取任何這些步驟都可能導致極度嚴重的后果。隨同它們并不能保證安全——數據泄露會發作——但它確切使惡意行為者變得加倍難題,并且需要一定水平的技巧才能降服。
