互聯(lián)網(wǎng)時(shí)代的到來對企業(yè)的經(jīng)營方式產(chǎn)生了深遠(yuǎn)的影響。對于大多數(shù)想要保持相關(guān)性和競爭力的公司而言，維持在線形象不再是可有可無的選擇。現(xiàn)有和潛在客戶使用 Internet 進(jìn)行購買、管理他們的帳戶、研究產(chǎn)品等等。這樣做的好處是無法估量的，但它也有陰暗面——黑客。由于您的網(wǎng)站和在線聲譽(yù)受到如此多的影響，確保服務(wù)器安全絕對至關(guān)重要。

安全專業(yè)人員將他們的整個(gè)職業(yè)生涯都投入到跟上在線威脅不斷變化的本質(zhì)，而全球公司擁有擁有大量資源的整個(gè)團(tuán)隊(duì)，致力于確保其在線財(cái)產(chǎn)的安全。承擔(dān)保護(hù)服務(wù)器的繁重工作似乎是一項(xiàng)艱巨的任務(wù)，但我們隨時(shí)為您提供幫助！我們已經(jīng)確定了一些關(guān)鍵做法，可以充分保護(hù)您的服務(wù)器以抵御絕大多數(shù)攻擊并阻止除最精英黑客之外的所有黑客。使用這些方法保護(hù)您的服務(wù)器不需要大量的系統(tǒng)管理能力，但如果您愿意將其交給我們有能力的人， 請查看我們的管理計(jì)劃和SecureServer+服務(wù)。

躲在防火墻后面

任何安全環(huán)境的第一道防線都是防火墻。有多種防火墻可供選擇，但它們通常都具有相同的基本功能。防火墻是駐留在 Internet 和服務(wù)器上任何面向網(wǎng)絡(luò)的服務(wù)之間的應(yīng)用程序或物理設(shè)備。它充當(dāng)網(wǎng)絡(luò)流量的看門人，使用一組規(guī)則來過濾入站和出站連接。但是，防火墻的好壞取決于它所使用的規(guī)則。一個(gè)配置良好的防火墻可以過濾掉絕大多數(shù)惡意連接，而配置不當(dāng)?shù)姆阑饓t效果會差很多。

第一個(gè)決定是硬件還是軟件。大多數(shù)現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的軟件防火墻應(yīng)用程序，這通常就足夠了。專用設(shè)備，也稱為硬件防火墻，通常用在多服務(wù)器環(huán)境前面，為防火墻管理提供單點(diǎn)。

無論您最終使用哪種類型的防火墻，下一步都是定義一套好的規(guī)則。配置防火墻時(shí)的第 1 條規(guī)則，尤其是遠(yuǎn)程配置時(shí)，要非常小心，不要通過阻止用于訪問防火墻的連接來將自己鎖在門外。如果您不小心阻止了自己的連接——通常是物理控制臺或帶外控制臺解決方案，如 IPMI、ILO 或 DRAC，最好使用后備訪問方法來更改防火墻規(guī)則。

首先考慮您的服務(wù)器提供的服務(wù)。網(wǎng)絡(luò)服務(wù)利用特定端口來幫助區(qū)分連接類型。將它們想象成一條非常寬的高速公路上的車道，帶有分隔線以防止改變車道。例如，網(wǎng)絡(luò)服務(wù)器通常使用端口 80 進(jìn)行標(biāo)準(zhǔn)連接，使用端口 443 進(jìn)行使用 SSL 證書保護(hù)的連接。這些服務(wù)可以配置為使用非標(biāo)準(zhǔn)端口，因此請務(wù)必驗(yàn)證您的服務(wù)正在使用哪些端口。

接下來，確定您將如何遠(yuǎn)程管理您的服務(wù)器。在 Windows 上，這通常是通過 RDP（遠(yuǎn)程桌面協(xié)議）完成的，而在 Linux 上，您可能會使用 SSH（安全外殼）。理想情況下，您將希望阻止對用于管理的端口的訪問，除了少數(shù) IP 或一個(gè)小型子網(wǎng)之外的所有端口，以限制不在您組織內(nèi)的任何人對這些協(xié)議的訪問。例如，如果您是 Linux 服務(wù)器的唯一管理員，請打開 SSH 端口（通常為 22）以僅從您計(jì)算機(jī)的靜態(tài) IP 地址進(jìn)行連接。如果您沒有靜態(tài) IP 地址，您通常可以確定一個(gè)子網(wǎng)，您將從中分配一個(gè) IP。雖然將一系列 IP 列入白名單并不理想，但這比向整個(gè) Internet 開放該端口要好得多。

要生成一套可靠的規(guī)則，請阻止來自所有 IP 的所有端口，然后創(chuàng)建特定規(guī)則以打開您的服務(wù)和管理所需的那些端口——記住不要將自己鎖在外面。為您的服務(wù)開放的端口通常應(yīng)該從所有 IP 開放，但如上所述限制管理端口。

雖然防火墻不應(yīng)該是您唯一的防線，但創(chuàng)建一套合理的防火墻規(guī)則是增強(qiáng)服務(wù)器安全性的一個(gè)很好的起點(diǎn)。事實(shí)上，任何服務(wù)器都不應(yīng)沒有至少基本的防火墻配置。

身份驗(yàn)證和密碼

增強(qiáng)服務(wù)器安全性的最簡單方法之一就是實(shí)施強(qiáng)身份驗(yàn)證策略。您的服務(wù)器僅與密碼最弱的帳戶一樣安全。對于服務(wù)器上使用的任何密碼，請遵循良好的密碼指南，例如確保您的密碼長度足夠，而不是字典中的單詞，并且不要用于其他本身可能會受到威脅并泄露您的密碼的服務(wù)。雖然您可以通過良好的防火墻配置限制對服務(wù)器的遠(yuǎn)程訪問，但仍然存在可用于通過在開放網(wǎng)絡(luò)端口上運(yùn)行的受損或未修補(bǔ)服務(wù)向系統(tǒng)發(fā)送命令的漏洞。

在許多情況下，完全無密碼是可能的（而且更方便）！如果您訪問服務(wù)器的主要方法是通過 SSH，您可以在服務(wù)器的 SSH 配置文件中禁用密碼驗(yàn)證，而是使用一對公鑰和私鑰來授權(quán)您的連接。

請記住，如果您需要能夠隨時(shí)從任何地方登錄到您的服務(wù)器，則此方法可能不那么方便，因?yàn)槟枰獙⒛乃借€添加到您連接的任何新系統(tǒng)。此外，雖然這種方法使遠(yuǎn)程連接的安全性提高了一個(gè)數(shù)量級，但不要忘記為您的帳戶設(shè)置一個(gè)強(qiáng)密碼。黑客有時(shí)可以通過其他方式訪問系統(tǒng)，您不希望擁有一個(gè)由密碼（如“1234”）保護(hù)的提升訪問權(quán)限的帳戶。

如今，雙因素身份驗(yàn)證 (2FA) 變得非常流行。使用 2FA 時(shí)，用戶不僅需要使用密碼進(jìn)行身份驗(yàn)證，還需要提供發(fā)送到先前注冊的電子郵件地址或移動(dòng)設(shè)備的一次性代碼，以進(jìn)一步驗(yàn)證其身份。可以通過第三方服務(wù)或使用支持 2FA 的帳戶（如 Google 或 Microsoft）在您的服務(wù)器上實(shí)現(xiàn)類似的功能。cPanel\WHM 現(xiàn)在支持雙因素身份驗(yàn)證，因此如果您使用此控制面板作為服務(wù)器管理的主要方式，這可能是您的一個(gè)選擇。

蠻力保護(hù)

服務(wù)器上的常見攻擊向量是暴力攻擊。這些是使用猜測的用戶名和密碼進(jìn)行的遠(yuǎn)程登錄嘗試，在服務(wù)器和網(wǎng)絡(luò)允許的范圍內(nèi)一遍又一遍地重復(fù)。在不受保護(hù)的情況下，每天可能會進(jìn)行數(shù)十萬次嘗試——足以在一個(gè)月內(nèi)破解任何 8 個(gè)字符的密碼。出于這個(gè)原因，謹(jǐn)慎的做法是在您的服務(wù)器上安裝某種形式的暴力破解保護(hù)。

大多數(shù)暴力保護(hù)方法都采用兩種形式之一。第一種方法在登錄嘗試之間引入超時(shí)。即使此超時(shí)時(shí)間短至一秒，這也會導(dǎo)致攻擊花費(fèi)多倍的時(shí)間來破解密碼。您可能希望更長的超時(shí)時(shí)間以提供更好的安全性，同時(shí)又不會過度干擾拼寫錯(cuò)誤的用戶的合法登錄嘗試。一些系統(tǒng)通過增加每次失敗嘗試的超時(shí)時(shí)間來采用這種方法，通常是指數(shù)級的。失敗一次，等待1秒。再次失敗，等待 5 秒。第三次失敗，等待 30 秒……到第四次嘗試時(shí)，您將非常小心地輸入密碼。

或者，此方法的一種變體對設(shè)定時(shí)間段內(nèi)允許的嘗試次數(shù)設(shè)置了硬性上限。登錄失敗次數(shù)過多將導(dǎo)致帳戶被鎖定——或者是暫時(shí)的，或者在更極端的情況下，直到被服務(wù)器管理員解鎖。這種方法有效地阻止了任何暴力攻擊，但對于不太小心輸入密碼的有效用戶來說，它可能會更加煩人。

第二種方法是在登錄請求中引入驗(yàn)證碼。這迫使用戶執(zhí)行一項(xiàng)對人類來說微不足道但對計(jì)算機(jī)來說卻很困難的壯舉。通常，這涉及某種圖像識別，例如識別包含路燈的網(wǎng)格中的所有圖片，或破譯一些用模糊字體書寫的文本。雖然計(jì)算機(jī)通常最終能夠解決這些請求，但它們花費(fèi)的時(shí)間比一般人類要長得多，并且大大減慢了攻擊速度。驗(yàn)證碼還經(jīng)常用于保護(hù)公眾評論部分免受垃圾郵件帖子和注冊表單的侵害。

暴力破解保護(hù)可以在許多防火墻或操作系統(tǒng)本身中找到——但不要忘記其他帳戶，例如 WordPress、cPanel/WHM 等。確保任何暴露的登錄都啟用了某種形式的暴力破解保護(hù)。

軟件更新和安全補(bǔ)丁

軟件和操作系統(tǒng)更新以及安全補(bǔ)丁對于維護(hù)安全服務(wù)器也很重要。如果您運(yùn)行的是易受已知漏洞利用的過時(shí)操作系統(tǒng)版本，那么您所有其他的努力都將毫無意義并完全付諸東流。

大多數(shù)軟件和操作系統(tǒng)供應(yīng)商都投入了大量資源來為他們的產(chǎn)品打補(bǔ)丁以應(yīng)對最近發(fā)現(xiàn)的漏洞，以至于許多次要版本包含的安全修復(fù)程序多于功能更新。對其產(chǎn)品的舊版本保持這種警惕性可能代價(jià)高昂，因此軟件和操作系統(tǒng)在多年后經(jīng)常被歸類為生命周期結(jié)束 (EOL)。除其他事項(xiàng)外，這意味著該產(chǎn)品將不再接收在達(dá)到 EOL 后可能發(fā)現(xiàn)的漏洞的更新。

這種類型的常見案例與 PHP 相關(guān)，PHP 是 Web 上常用的一種腳本語言。在本文發(fā)布之時(shí)，所有早于 7.2 的 PHP 版本都已停產(chǎn)。盡管如此，PHP 5.3 的舊版本仍然很普遍。7.2 和 5.3 之間存在顯著差異，如果不對代碼進(jìn)行重大修改，就不可能升級到受支持的版本。

幸運(yùn)的是，通過這個(gè)特定的 PHP 版本示例，CloudLinux 已經(jīng)讓您了解了cPanel 服務(wù)器。CloudLinux 提供舊 PHP 版本的強(qiáng)化版本，以及安全更新，遠(yuǎn)遠(yuǎn)超過 EOL 日期。然而，這個(gè)問題可能發(fā)生在任何軟件上，而且大多數(shù)沒有像 CloudLinux 這樣簡單的解決方案。

運(yùn)行過時(shí)的操作系統(tǒng)也不是好的做法。例如，CentOS 5 已經(jīng)停產(chǎn)一段時(shí)間了，但這并不是一個(gè)非常罕見的景象。如果您碰巧正在運(yùn)行這樣的東西，您應(yīng)該盡快規(guī)劃您的升級路徑。當(dāng)您運(yùn)行的操作系統(tǒng)進(jìn)入 EOL 時(shí)，即使您的服務(wù)器上受支持的軟件也將停止接收更新，這是很常見的，因?yàn)楣?yīng)商不會在 EOL OS 版本上提供新版本。這會對您的服務(wù)器的安全產(chǎn)生級聯(lián)的負(fù)面影響。

代碼和自定義應(yīng)用程序

不幸的是，即使是最堅(jiān)固的服務(wù)器仍然容易受到網(wǎng)站上運(yùn)行的不安全代碼或應(yīng)用程序的攻擊。

如果您正在運(yùn)行可自定義的 Web 應(yīng)用程序，例如 WordPress、Joomla 或 Magento，那么不僅要使核心應(yīng)用程序保持最新，而且還要使所有插件或主題保持最新，這一點(diǎn)至關(guān)重要。這也適用于項(xiàng)目本身的代碼——如果您懷疑您的主題或插件“死了”并且不再更新，尋找替代品是明智的。新的漏洞不斷被發(fā)現(xiàn)，應(yīng)用程序或插件只有在上次更新時(shí)才安全。

在處理開發(fā)人員為您創(chuàng)建的自定義代碼時(shí)，明智的做法是與您的開發(fā)人員保持持續(xù)的關(guān)系，以便您可以繼續(xù)接收更新。否則，您可能會遇到上述情況，您發(fā)現(xiàn)無法再更新您的 PHP 或其他重要軟件，因?yàn)樵摼W(wǎng)站與新版本不兼容。

這種攻擊向量可能是最難防御的，因?yàn)槟臄?shù)據(jù)中心或托管服務(wù)提供商通常不支持在您的服務(wù)器上運(yùn)行的自定義軟件和代碼。除非您運(yùn)行的是完全現(xiàn)成的軟件，否則請確保您有一個(gè)計(jì)劃來更新和修補(bǔ)您的代碼。

如您所見，保護(hù)服務(wù)器遠(yuǎn)遠(yuǎn)超出了初始設(shè)置的范圍。雖然這很重要，但同樣重要的是保持它是最新的，以對抗不斷增長的已知黑客和漏洞利用列表。系統(tǒng)受損可能造成巨大的經(jīng)濟(jì)損失和聲譽(yù)損失。正如一句古老的格言所說，一盎司的預(yù)防勝過一磅的治療。