Linux服務(wù)器的安全防護(hù)都有哪些措施

一、強(qiáng)化密碼強(qiáng)度

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、棗莊網(wǎng)站維護(hù)、網(wǎng)站推廣。

只要涉及到登錄，就需要用到密碼，如果密碼設(shè)定不恰當(dāng)，就很容易被黑客破解，如果是超級(jí)管理員(root)用戶，如果沒有設(shè)立良好的密碼機(jī)制，可能給系統(tǒng)造成無法挽回的后果。

很多用戶喜歡用自己的生日、姓名、英文名等信息來設(shè)定，這些方式可以通過字典或者社會(huì)工程的手段去破解，因此建議用戶在設(shè)定密碼時(shí)，盡量使用非字典中出現(xiàn)的組合字符，且采用數(shù)字與字符、大小寫相結(jié)合的密碼，增加密碼被破譯的難度。

二、登錄用戶管理

進(jìn)入Linux系統(tǒng)前，都是需要登錄的，只有通過系統(tǒng)驗(yàn)證后，才能進(jìn)入Linux操作系統(tǒng)，而Linux一般將密碼加密后，存放在/etc/passwd文件中，那么所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數(shù)仍不高，因此可以設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶操作。

三、賬戶安全等級(jí)管理

在Linux操作系統(tǒng)上，每個(gè)賬戶可以被賦予不同的權(quán)限，因此在建立一個(gè)新用戶ID時(shí)，系統(tǒng)管理員應(yīng)根據(jù)需要賦予該賬號(hào)不同的權(quán)限，且歸并到不同的用戶組中。每個(gè)賬號(hào)ID應(yīng)有專人負(fù)責(zé)，在企業(yè)中，如果負(fù)責(zé)某個(gè)ID的員工離職，該立即從系統(tǒng)中刪除該賬號(hào)。

四、謹(jǐn)慎使用"r"系列遠(yuǎn)程程序管理

在Linux操作系統(tǒng)中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統(tǒng)，因此千萬不要將root賬號(hào)開放給這些公用程序，現(xiàn)如今很多安全工具都是針對(duì)此漏洞而設(shè)計(jì)的，比如PAM工具，就可以將其有效地禁止掉。

五、root用戶權(quán)限管理

root可謂是Linux重點(diǎn)保護(hù)對(duì)象，因?yàn)槠錂?quán)利是最高的，因此千萬不要將它授權(quán)出去，但有些程序的安裝、維護(hù)必須要求是超級(jí)用戶權(quán)限，在此情況下，可以利用其他工具讓這類用戶有部分超級(jí)用戶的權(quán)限。sudo就是這樣的工具。

六、綜合防御管理

防火墻、IDS等防護(hù)技術(shù)已成功應(yīng)用到網(wǎng)絡(luò)安全的各個(gè)領(lǐng)域，且都有非常成熟的產(chǎn)品，需要注意的是：在大多數(shù)情況下，需要綜合使用這兩項(xiàng)技術(shù)，因?yàn)榉阑饓ο喈?dāng)于安全防護(hù)的第一層，它僅僅通過簡(jiǎn)單地比較IP地址/端口對(duì)來過濾網(wǎng)絡(luò)流量，而IDS更加具體，它需要通過具體的數(shù)據(jù)包(部分或者全部)來過濾網(wǎng)絡(luò)流量，是安全防護(hù)的第二層。綜合使用它們，能夠做到互補(bǔ)，并且發(fā)揮各自的優(yōu)勢(shì)，最終實(shí)現(xiàn)綜合防御。

服務(wù)器安全應(yīng)該注意哪些方面

技術(shù)在近年來獲得前所未有的增長。云技術(shù)如今已被運(yùn)用到銀行、學(xué)校、政府以及大量的商業(yè)組織。但是云計(jì)算也并非萬能的，和其他IT部署架構(gòu)一樣存在某些難以彌補(bǔ)的缺陷。例如公有云典型代表：服務(wù)器，用戶數(shù)據(jù)存儲(chǔ)在云計(jì)算基礎(chǔ)平臺(tái)的存儲(chǔ)系統(tǒng)中，但敏感的信息和應(yīng)用程序同樣面臨著網(wǎng)絡(luò)攻擊和黑客入侵的威脅。以下就是壹基比小喻要講的服務(wù)器面臨的九大安全威脅。

哪些因素會(huì)對(duì)服務(wù)器安全有危害？

一、數(shù)據(jù)漏洞

云環(huán)境面臨著許多和傳統(tǒng)企業(yè)網(wǎng)絡(luò)相同的安全威脅，但由于極大量的數(shù)據(jù)被儲(chǔ)存在服務(wù)器上，服務(wù)器供應(yīng)商則很可能成為盜取數(shù)據(jù)的目標(biāo)。供應(yīng)商通常會(huì)部署安全控件來保護(hù)其環(huán)境，但最終還需要企業(yè)自己來負(fù)責(zé)保護(hù)云中的數(shù)據(jù)。公司可能會(huì)面臨：訴訟、犯罪指控、調(diào)查和商業(yè)損失。

二、密碼和證書

數(shù)據(jù)漏洞和其他攻擊通常來源于不嚴(yán)格的認(rèn)證、較弱的口令和密鑰或者證書管理。企業(yè)應(yīng)當(dāng)權(quán)衡集中身份的便利性和使儲(chǔ)存地點(diǎn)變成攻擊者首要目標(biāo)的風(fēng)險(xiǎn)性。使用服務(wù)器，建議采用多種形式的認(rèn)證，例如：一次性密碼、手機(jī)認(rèn)證和智能卡保護(hù)。

三、界面和API的入侵

IT團(tuán)隊(duì)使用界面和API來管理和與服務(wù)器互動(dòng)，包括云的供應(yīng)、管理、編制和監(jiān)管。API和界面是系統(tǒng)中最暴露在外的一部分，因?yàn)樗鼈兺ǔ？梢酝ㄟ^開放的互聯(lián)網(wǎng)進(jìn)入。服務(wù)器供應(yīng)商，應(yīng)做好安全方面的編碼檢查和嚴(yán)格的進(jìn)入檢測(cè)。運(yùn)用API安全成分，例如：認(rèn)證、進(jìn)入控制和活動(dòng)監(jiān)管。

四、已開發(fā)的系統(tǒng)的脆弱性

企業(yè)和其他企業(yè)之間共享經(jīng)驗(yàn)、數(shù)據(jù)庫和其他一些資源，形成了新的攻擊對(duì)象。幸運(yùn)的是，對(duì)系統(tǒng)脆弱性的攻擊可以通過使用“基本IT過程”來減輕。盡快添加補(bǔ)丁——進(jìn)行緊急補(bǔ)丁的變化控制過程保證了補(bǔ)救措施可以被正確記錄，并被技術(shù)團(tuán)隊(duì)復(fù)查。容易被攻擊的目標(biāo)：可開發(fā)的bug和系統(tǒng)脆弱性。

五、賬戶劫持

釣魚網(wǎng)站、詐騙和軟件開發(fā)仍舊在肆虐，服務(wù)器又使威脅上升了新的層次，因?yàn)楣粽咭坏┏晒?*、操控業(yè)務(wù)以及篡改數(shù)據(jù)，將造成嚴(yán)重后果。因此所有云服務(wù)器的管理賬戶，甚至是服務(wù)賬戶，都應(yīng)該形成嚴(yán)格監(jiān)管，這樣每一筆交易都可以追蹤到一個(gè)所有者。關(guān)鍵點(diǎn)在于保護(hù)賬戶綁定的安全認(rèn)證不被竊取。有效的攻擊載體：釣魚網(wǎng)站、詐騙、軟件開發(fā)。

六、居心叵測(cè)的內(nèi)部人員

內(nèi)部人員的威脅來自諸多方面：現(xiàn)任或前員工、系統(tǒng)管理者、承包商或者是商業(yè)伙伴。惡意的來源十分廣泛，包括竊取數(shù)據(jù)和報(bào)復(fù)。單一的依靠服務(wù)器供應(yīng)商來保證安全的系統(tǒng)，例如加密，是最為危險(xiǎn)的。有效的日志、監(jiān)管和審查管理者的活動(dòng)十分重要。企業(yè)必須最小化暴露在外的訪問：加密過程和密鑰、最小化訪問。

七、APT病毒

APT通過滲透服務(wù)器中的系統(tǒng)來建立立足點(diǎn)，然后在很長的一段時(shí)間內(nèi)悄悄地竊取數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。IT部門必須及時(shí)了解最新的高級(jí)攻擊，針對(duì)服務(wù)器部署相關(guān)保護(hù)策略（ID:ydotpub）。此外，經(jīng)常地強(qiáng)化通知程序來警示用戶，可以減少被APT的迷惑使之進(jìn)入。進(jìn)入的常見方式：魚叉式網(wǎng)絡(luò)釣魚、直接攻擊、USB驅(qū)動(dòng)。

八、永久性的數(shù)據(jù)丟失

關(guān)于供應(yīng)商出錯(cuò)導(dǎo)致的永久性數(shù)據(jù)丟失的報(bào)告已經(jīng)鮮少出現(xiàn)。但居心叵測(cè)的黑客仍會(huì)采用永久刪除云數(shù)據(jù)的方式來傷害企業(yè)和云數(shù)據(jù)中心。遵循政策中通常規(guī)定了企必須保留多久的審計(jì)記錄及其他文件。丟失這些數(shù)據(jù)會(huì)導(dǎo)致嚴(yán)重的監(jiān)管后果。建議云服務(wù)器供應(yīng)商分散數(shù)據(jù)和應(yīng)用程序來加強(qiáng)保護(hù)：每日備份、線下儲(chǔ)存。

九、共享引發(fā)潛在危機(jī)

共享技術(shù)的脆弱性為服務(wù)器帶來了很大的威脅。服務(wù)器供應(yīng)商共享基礎(chǔ)設(shè)施、平臺(tái)以及應(yīng)用程序，如果脆弱性出現(xiàn)在任何一層內(nèi)，就會(huì)影響所有。如果一個(gè)整體的部分被損壞——例如管理程序、共享的平臺(tái)部分或者應(yīng)用程序——就會(huì)將整個(gè)環(huán)境暴露在潛在的威脅和漏洞下

1、如何保護(hù)企業(yè)服務(wù)器的安全呢？

增強(qiáng)網(wǎng)絡(luò)整體安全

很多網(wǎng)管往往在維護(hù)網(wǎng)絡(luò)安全方面存在這樣的誤區(qū)，認(rèn)為只要將服務(wù)器單機(jī)打好補(bǔ)丁，安裝好防護(hù)墻

、操作系統(tǒng)定期升級(jí)就可以安枕無憂了。可實(shí)際上，很多黑客和病毒并非直接攻擊服務(wù)器，而是通過入侵

其他計(jì)算機(jī)作為跳板來攻擊整個(gè)網(wǎng)絡(luò)的。目前很多網(wǎng)絡(luò)都是通過域的方式來管理，一旦黑客或病毒成功入

侵與服務(wù)器有信任關(guān)系的一臺(tái)計(jì)算機(jī)，那么從這臺(tái)計(jì)算機(jī)攻擊服務(wù)器將會(huì)變得非常簡(jiǎn)單。所以要辦證整個(gè)

網(wǎng)絡(luò)的安全要從根本來考慮。

首先是安全管理，要從管理角度出發(fā)，利用規(guī)章制度等文字性的材料規(guī)范，約束各種針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)

的行為，例如禁止員工隨便下載非法程序，禁止網(wǎng)絡(luò)管理員以外的人員進(jìn)入中心機(jī)房，完善網(wǎng)絡(luò)管理員的

值班制度等等。

其次是安全技術(shù)，要從技術(shù)角度出發(fā)，利用各種軟件和硬件，各種技巧和方法來管理整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，

殺毒軟件與防火墻雙管齊下力保網(wǎng)絡(luò)的安全。

這兩方面缺一不可，試想如果只有安全技術(shù)的支持而在規(guī)章制度上沒有進(jìn)行任何約束，即使剛開始安

全做的很到位，但員工隨意下載非法軟件，隨便關(guān)閉殺毒軟件的保護(hù)的話，整個(gè)網(wǎng)絡(luò)安全形同虛設(shè)。而只

有嚴(yán)格的規(guī)章沒有技術(shù)作為支持的話病毒和黑客也會(huì)通過網(wǎng)絡(luò)漏洞輕松入侵。因此安全管理與安全技術(shù)兩

方面相輔相成，網(wǎng)絡(luò)管理員對(duì)于這兩方面都要抓，力度都要硬。

加強(qiáng)服務(wù)器本地文件格式安全級(jí)別

目前服務(wù)器都采用的是windows 2000以上版本，所以在加強(qiáng)安全級(jí)別上需要利用windows 2000 server

提供的用戶權(quán)限功能，根據(jù)每個(gè)用戶的特點(diǎn)單獨(dú)地為其制定訪問服務(wù)器的特殊使用權(quán)限，從而避免因使用

統(tǒng)一的訪問服務(wù)器權(quán)限而帶來的安全隱患。

為了確保服務(wù)器的安全首先要在本地文件格式上做文章，即將FAT格式轉(zhuǎn)換為安全系數(shù)更高的NTFS文

件格式。畢竟對(duì)于黑客來說存儲(chǔ)在FAT格式的磁盤分區(qū)里的數(shù)據(jù)要比存儲(chǔ)在NTFS格式的磁盤分區(qū)的數(shù)據(jù)更容

易訪問，也更容易破壞，另外目前所有安全軟件及加密軟件也都是針對(duì)NTFS格式來說的，對(duì)FAT格式的保護(hù)

非常薄弱。

另外最好使用專門的網(wǎng)絡(luò)檢測(cè)軟件對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行7*24小時(shí)的不間斷監(jiān)視，尤其要關(guān)注“

非法入侵”和“對(duì)服務(wù)器的操作”兩方面的報(bào)告，筆者做在的公司就使用IISLOCK來監(jiān)視網(wǎng)頁服務(wù)器的正常

運(yùn)行和MRTG來檢測(cè)整個(gè)網(wǎng)絡(luò)的流量。

定期備份數(shù)據(jù)

數(shù)據(jù)的保護(hù)是一個(gè)非常重要的問題，也許服務(wù)器的系統(tǒng)沒有崩潰但里面存儲(chǔ)的數(shù)據(jù)發(fā)生了丟失，這種

情況所造成的損失會(huì)更大，特別對(duì)于數(shù)據(jù)庫服務(wù)器來說也許存儲(chǔ)的是幾年的珍貴數(shù)據(jù)。怎么才能有效的保

護(hù)數(shù)據(jù)?備份是唯一的選擇。以往對(duì)于數(shù)據(jù)的備份都是采取在服務(wù)器上另外一個(gè)區(qū)建立備份文件夾甚至是建

立一個(gè)備份區(qū)。不過這樣備份方法有一個(gè)非常大的弊端，那就是一旦服務(wù)器的硬盤出現(xiàn)問題所有分區(qū)的數(shù)

據(jù)都將丟失，從而備份沒有了保證。按照“不要把所有雞蛋放到同一個(gè)籃子”的理論我們應(yīng)該使用單獨(dú)的

專門設(shè)備保存這些珍貴數(shù)據(jù)。

使用B服務(wù)器保存A服務(wù)器的數(shù)據(jù)，同時(shí)用A服務(wù)器保存B服務(wù)器的文件，這種交叉?zhèn)浞莸姆椒ㄔ谝欢螘r(shí)

間非常流行。另外還有一個(gè)有效的方法就是使用磁帶來保存珍貴數(shù)據(jù)，不過這樣的投資會(huì)比較大。

就拿采用的備份方式來說，采用的備份方式是通過網(wǎng)絡(luò)存儲(chǔ)設(shè)備NAS來保存的，將單獨(dú)的NAS設(shè)備連接

到網(wǎng)絡(luò)中，定期通過工具將珍貴數(shù)據(jù)寫入到NAS的硬盤中，由于NAS設(shè)備自身使用了RAID方式進(jìn)行數(shù)據(jù)的冗

余，所以數(shù)據(jù)得到了最好的保證。

但是數(shù)據(jù)備份也存在巨大的安全漏洞，因?yàn)閭浞莺玫臄?shù)據(jù)也有可能被盜竊，所以在備份時(shí)應(yīng)該對(duì)備份

介質(zhì)進(jìn)行有效的密碼保護(hù)，必要時(shí)還需要使用加密軟件對(duì)這些數(shù)據(jù)進(jìn)行加密，這樣即使數(shù)據(jù)被盜也不會(huì)出現(xiàn)

數(shù)據(jù)泄露的問題。易信科技，望采納。

當(dāng)前標(biāo)題：企業(yè)服務(wù)器安全防護(hù)要求 服務(wù)器防護(hù)用什么設(shè)備
本文來源：http://www.chinadenli.net/article48/dddpiep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、軟件開發(fā)、響應(yīng)式網(wǎng)站、做網(wǎng)站、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)