如果您不确定如何保护您的服务器,或者如果您已经掌握了所有基础知识,可以使用以下一些安全提示来保护您的服务器。安全运行服务器的12条提示(1)保持软件和操作系统更新在服务器安全方面,掌握与软件和操作系统相关的安全补丁至关重要。未打补丁的软件、黑客攻击和系统入侵经常发生。通常,软件供应商会向客户发送补丁或软件更新通知,因此不应有任何延迟。服务器软件在发布前经过广泛测试,尽管企业可能需要测试与自身系统环境的兼容性问题。补丁管理工具、漏洞扫描器和其他用于查找安全漏洞的工具可以提供帮助。(2)尽可能自动化和使用人工智能人为错误是不可避免的,大多数重大服务器故障都是人为错误造成的。而且工作人员可能会超载,在安全方面也会有一些疏漏。为了执行某些功能,它需要尽可能自动化。例如,大部分系统都支持自动下载安装补丁,越来越多的人工智能产品可以对企业的系统进行监控、保护和升级。(3)使用基于全球互联网协议地址空间的虚拟专用网络专用网络。虚拟专用网络是专用的专用网络,因为它的Internet协议数据包不需要通过公共网络传输。虚拟专用网络将允许企业在不同位置的不同计算机设备之间建立连接。它允许企业安全地在服务器上执行操作。企业可以在同一账号下与其他服务器交换信息,而不会受到外界的攻击和破坏。为保证服务器安全,企业应搭建虚拟专用网络。(4)考虑零信任网络防火墙和VPN的弱点之一是它们无法阻止内部移动。一旦黑客闯入企业网络,他们几乎可以在整个网络中自由活动。这就是零信任网络的用武之地,它不允许用户或设备访问任何东西,除非他们获得许可或证明。这就是所谓的“最小权限”方法,它需要对所有内容进行严格的访问控制。(5)加密一切任何数据都不应在未加密的服务器上移动。安全套接字层(SSL)是一种安全协议,用于保护Internet上两个系统之间的通信。企业内部系统也是如此。使用安全套接字层(SSL)证书,只有预期的收件人拥有解密消息的密钥。连接到远程服务器时,使用SSH(安全外壳)加密交换中传输的所有数据。使用带有SSH密钥的RSA2048位加密对SSH服务器进行身份验证。要在服务器之间传输文件,您需要使用安全文件传输协议(FTPS)。它可以加密数据文件和认证信息。最后,需要来自防火墙外部的连接才能使用虚拟专用网络。虚拟专用网络使用自己的专用网络和专用IP在服务器之间创建隔离的通信通道。(6)不要只使用标准防火墙防火墙是确保服务器安全的必备工具,但防火墙不仅仅是部署在本地的防火墙,还有托管安全服务提供商(MSSP)为企业网络提供托管防火墙服务。根据服务协议的范围,托管安全服务提供商(MSSP)可以执行防火墙安装、应用程序控制和Web内容过滤,因为它们有助于识别要阻止的应用程序和Web内容(URLS)。他们还将帮助管理补丁和更新。实际上有大量的托管安全服务提供商(MSSP)可供选择。(7)更改默认在大多数系统中,默认账户是root账户,这是黑客攻击的目标。所以需要改变。对于管理员帐户也是如此。不要在网络上使用令人大跌眼镜的帐户名。企业可以通过减少所谓的攻击媒介来提高服务器安全性,攻击媒介是运行最低限度所需服务的过程。Windows和Linux的服务器版本附带了许多服务,如果您不需要这些服务,则应将其关闭。默认情况下,Wi-Fi访问端口广播其身份,如果在范围内,端点设备将看到它。进入访问端口并关闭广播,因此,任何想使用它的人都必须知道访问点的真实名称。此外,企业的设备不应使用厂商的默认名称。(8)创建多台服务器或虚拟环境隔离是企业可以拥有的最好的服务器保护类型之一,因为如果一台服务器被攻破,黑客就可以锁定到那台服务器上。例如,将数据库服务器与Web应用程序服务器分开是标准做法。完全隔离需要有专用的裸机服务器,裸机服务器不与其他服务器共享任何组件,这意味着企业需要添加更多硬件。相反,虚拟化可以作为一个孤立的环境来实现。在数据中心拥有隔离的执行环境可以实现所谓的职责分离(SoD)。职责分离(SoD)以“最小权限”原则运行,这实际上意味着用户不应拥有比实际权限更多的权限他们日常工作所必需的。为了保护系统和数据,必须建立用户层次结构,每个用户都有自己的用户ID和尽可能少的权限。如果企业负担不起或不需要与专用服务器组件完全隔离,那么还可以选择隔离执行环境,也称为虚拟机和容器。此外,IntelCorp.和AMDCorp.的最新服务器处理器具有特殊的虚拟机加密功能,可将虚拟机与其他虚拟机隔离开来。因此,如果一个虚拟机受到威胁,黑客将无法访问其他虚拟机。(9)正确输入密码密码一直是一个安全问题,因为很多人对密码管理有点马虎。他们在多个帐户中使用相同的密码,或者使用简单、易于猜测的密码,例如“password”、“abcde”或“123456”。甚至可能根本没有设置密码。设置密码时,需要混合使用大小写字母、数字和符号。并定期更改密码,使用一次后禁止使用原密码。(10)关闭隐藏的开放端口网络攻击可能来自人们甚至没有意识到是开放的端口。所以不要认为了解每个端口的情况是不可能的。非绝对必要的端口应关闭。WindowsServer和Linux共享一个名为netstat的通用命令,该命令可用于确定正在侦听的端口,同时还显示当前可能可用的连接的详细信息。列出所有端口的信息-"netstat-s"列出所有TCP端口-"netstat-at"列出所有UDP端口-"netstat-au"所有打开的侦听端口-"netstat-l"(11)经常执行适当的备份In2009,包含飞行模拟文件的服务器被黑客入侵,其内容被破坏。其内容存储在两台服务器上,相互备份。服务器A的内容备份到服务器B,服务器B的内容也备份到服务器A。但是最终这些文件都丢失了。企业不仅需要有计划的备份,而且还应该在网络之外的异地位置进行。异地备份是必要的,尤其是对于勒索软件攻击,企业可以在其中清理受感染的驱动器。企业还应将灾难恢复即服务(DRaaS)视为一种即服务产品,它通过云计算模型提供备份。它由许多本地供应商和云计算服务提供商提供。无论是自动备份作业还是手动执行,您都需要确保测试您的备份。这应该包括对管理员甚至最终用户的健全性检查,以验证数据恢复是否一致。(12)进行定期和频繁的安全审计。没有定期审计,就不可能知道可能出现的问题或如何解决这些问题,以确保企业的服务器得到充分保护。检查日志中是否存在可疑或异常活动,检查软件、操作系统和硬件固件更新,并检查系统性能。通常,黑客攻击会导致系统活动激增,而硬盘驱动器或CPU或网络流量异常可能是黑客攻击的迹象。由于服务器不是一劳永逸的,所以必须经常检查。
