安全是有分量的

网站安全防护_ddos攻击原理与防御方法_无限

2021-05-05 13:24栏目:数据

网站安全防护_ddos攻击原理与防御方法_无限

这是一个不错的新Linux服务器…如果发生什么事,那就太可惜了。它可能开箱即用,但在投入生产之前,您需要采取10个步骤来确保它的配置是安全的。这些步骤的细节可能因发行版而异,但从概念上讲,它们适用于任何风格的Linux。通过在新服务器上检查这些步骤,您可以确保它们至少具有针对最常见攻击的基本保护。 什么为什么?1用户配置保护您的凭据2网络配置建立沟通三管理包你不需要加什么4更新安装修补您的漏洞5NTP配置防止时钟漂移6防火墙和iptables最小化外部足迹7保护SSH强化远程会话8守护程序配置最小化攻击面9SELinux和进一步硬化保护内核和应用程序10登录中知道发生什么事了吗 1-用户配置如果不是操作系统设置的一部分,你要做的第一件事就是更改根密码。这应该是不言而喻的,但在常规服务器设置过程中可能会被意外地忽略。密码应至少为8个字符,使用大小写字母、数字和符号的组合。如果要使用本地帐户,还应该设置一个密码策略,指定老化、锁定、历史记录和复杂性要求。在大多数情况下,您应该完全禁用根用户,并为需要提升权限的用户创建具有sudo访问权限的非特权用户帐户。2-网络配置您需要进行的最基本配置之一是通过为服务器分配IP地址和主机名来启用网络连接。对于大多数服务器,您希望使用静态IP,以便客户端始终可以在同一地址找到资源。如果您的网络使用VLAN,请考虑服务器段的隔离程度以及它最适合的位置。如果不使用IPv6,请将其关闭。设置主机名、域和DNS服务器信息。两个或更多的DNS服务器应该用于冗余,并且您应该测试nslookup以确保名称解析工作正常。获取最新的服务器清单hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(228391,'29fdf6ea-66f6-40ad-85e2-b62aa2bad750',{});3-包装管理假设您正在为特定目的设置新服务器,因此请确保安装了您可能需要的任何软件包,如果它们不是您所使用的发行版的一部分。它们可以是PHP、MongoDB、ngnix等应用程序包,也可以是pear等支持包。同样,应该删除系统上安装的任何无关包,以缩小服务器占用空间。所有这些都应该通过您的发行版的包管理解决方案来完成,比如yum或apt,以便以后更容易地进行管理。4-更新安装和配置一旦在服务器上安装了正确的软件包,就应该确保所有内容都已更新。不仅仅是您安装的包,还有内核和默认包。除非您对特定版本有要求,否则您应该始终使用最新的生产版本来保证系统的安全。通常,您的包管理解决方案将提供最新的受支持版本。如果您在此服务器上托管的服务有效,您还应该考虑在包管理工具中设置自动更新5-NTP配置将服务器配置为与NTP服务器同步时间。这些服务器可以是内部NTP服务器(如果您的环境中有这些服务器),也可以是任何人都可以使用的外部时间服务器。重要的是要防止时钟漂移,即服务器的时钟偏离实际时间。这可能会导致很多问题,包括身份验证问题,即在授予访问权限之前要测量服务器和身份验证基础结构之间的时间偏差。这应该是一个简单的调整,但它是可靠基础设施的关键。6-防火墙和iptables根据您的发行版,iptables可能已经被完全锁定,并要求您打开所需的内容,但是不管默认配置是什么,您都应该始终查看它,并确保它按照您想要的方式设置。请记住,自建cdn防御ddos,在服务器上使用这些端口的权限是绝对必要的。如果你的服务器在某种专用防火墙后面,一定要否认一切,除了必要的东西。假设您的iptables/firewall在默认情况下是有限制的,不要忘了打开您需要的服务器来完成它的工作!7-保护SSHSSH是Linux发行版的主要远程访问方法,win7系统防御ddos,因此应该得到适当的保护。您应该禁用root远程SSH的能力,即使您禁用了该帐户,这样万一root出于某种原因在服务器上被启用,它仍然不能被远程利用。如果您有一组固定的要连接的客户机IP,您还可以将SSH限制在特定的IP范围内。或者,您可以将默认的SSH端口更改为"隐藏"它,路由ddos防御软件,但老实说,vps怎么防御ddos,一个简单的扫描将向任何想要找到它的人显示新的开放端口。最后,您可以完全禁用密码身份验证,并使用基于证书的身份验证来进一步减少SSH攻击的机会。cfa研究所的投资回报率(upguard)hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(228391,'29515ff1-90cf-4196-b7c6-61e2f28f0c6c',{});8-守护程序配置您已经清理了包,但将正确的应用程序设置为重新启动时自动启动也很重要。一定要关闭任何不需要的守护程序。安全服务器的一个关键是尽可能减少活动占用空间,因此只有应用程序需要的表面区域才可用于攻击。一旦完成了这项工作,就应该尽可能地强化剩余的服务,以确保恢复能力。9-SELinux和进一步硬化如果您曾经使用过redhat发行版,那么您可能熟悉SELinux,这是一种内核强化工具,可以保护系统不受各种操作的影响。SELinux非常擅长防止未经授权的使用和访问系统资源。它在破坏应用程序方面也很出色,所以请确保在启用SELinux的情况下测试配置,并使用日志来确保没有任何合法的东西被阻止。除此之外,您还需要研究如何强化任何应用程序,如MySQL或Apache,因为每个应用程序都有一套最佳实践可遵循。10-测井最后,您应该确保您所需的日志记录级别已启用,并且您有足够的资源进行记录。您将最终对该服务器进行故障排除,高防cdn什么意思赵丽颖金婚,所以现在就帮自己一个忙,并构建您需要快速解决问题的日志结构。大多数软件都有可配置的日志记录,但是您需要一些尝试和错误,以便在信息不足和信息过多之间找到适当的平衡。有许多第三方日志工具可以帮助实现从聚合到可视化的所有方面,但是每个环境都需要首先考虑其需求。然后您可以找到工具,帮助您填充它们。每一个步骤都需要一些时间来实现,尤其是第一次。但是,通过建立初始服务器配置例程,您可以确保环境中的新计算机具有弹性。如果您的服务器曾经是攻击的目标,那么不采取任何这些步骤都会导致相当严重的后果。遵循它们并不能保证安全——数据泄露会发生——但这确实会给恶意行为体带来更大的困难,并且需要一定程度的技巧才能克服。跳过命令行-请立即查看upguardhbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(228391,'52f49c13-19a6-4bb6-887d-48de813f13ac',{});