黑客总是在寻找服务器漏洞。确保企业数据安全是您的责任。

https://www.xikunyun.com/act/20191212

通过企业实施过程中我们的服务器进行安全提示和最佳做法，将风险降至最低，并有信心确保信息数据在安全管理服务器上的安全。

1.建立和使用安全连接

连接到远程服务器时，必须通过建立一个安全的通信技术通道。

使用SSH（安全外壳）协议是建立受保护连接的最佳方法。与以前使用的Telnet不同，SSH访问对交换中传输的所有数据进行加密。

您需要安装SSH守护程序，并具有SSH客户端，可以使用该SSH Client发出命令并管理服务器，以使用SSH协议进行远程访问。

默认情况下，SSH使用端口22。 包括黑客在内的所有人都知道这一点。大多数人不会进行配置管理这个问题看似无关紧要的细节。 然而，改变端口号是减少黑客攻击服务器机会的简单方法。因此，SSH的最佳实践是使用1024到32,767之间的端口号。

2.使用SSH密钥身份验证

您可以使用一对SSH密钥而不是一个密码来认证SSH服务器，这是中国传统管理登录的一种可以更好的替代治疗方法。 密钥携带的位数远远超过密码，大多数现代计算机都不容易破解。流行的RSA 2048位加密等效于617位密码。

关键的公钥和私钥组件。

公钥多个副本，一个副本保留在服务器上，而其他副本与用户共享。任何人都必须有公共密钥来加密数据的权限，但只能用相应的私有密钥的用户可以读取该数据。私钥不与任何人共享，必须能够保持一个安全。建立一个连接时，服务器会在允许特权访问之前通过询问学生用户管理具有私钥的证据。

3.安全文件传输协议

为了在服务器之间来回传输文件而不存在黑客攻击或窃取数据的风险，使用文件传输协议安全(F TPS)是至关重要的..它加密数据文件和身份验证信息。

FTPS同时可以使用一个命令通道和数据通道，用户可以对两者之间进行数据加密。 请记住，它只在传输过程中保护文件。一旦它们可以到达服务器，数据我们就不再加密。因此，在发送数据文件系统之前对其进行加密会增加企业另一层安全性。

4.安全套接字层证书

使用安全套接字层（SSL）保护Web管理区域和表单，以保护通过Internet在两个系统之间传递的信息。 SSL既可用于服务器-客户端通信，也可用于服务器-服务器通信..

该程序对数据可以进行加密，以使敏感信息（例如教师姓名，ID，信用卡号和其他员工个人发展信息）在传输过程中我们不会被盗。具有SSL证书的网站的URL中带有HTTPS，表明它们是安全的。

证书不仅将数据加密，同时也为用户身份验证。因此，证书管理服务器，这有助于建立用户权限。管理员可以将服务器配置为与集中权限和该权限签署的任何其他证书通信。

5.使用专用网络和VPN

确保安全通信的另一种方法是使用专用和虚拟专用网络（VPN），以及诸如OpenVPN之类的软件。对外界的私人和虚拟专用网络访问像一个开放的网络，让用户容易受到恶意攻击，相反，它限制进入选定的用户。

专用网络使用专用IP在同一范围内的服务器之间建立隔离的通信信道。这样，同一帐户下的多台服务器我们可以进行交换相关信息和数据，而无需暴露在公共服务场所。

当你想连接到远程服务器，就好像通过专用网络本地连接，使用VPN。它能够完全安全的和私人的连接，并且可以包含多个远程服务器。为了使服务器在同一个VPN通信时，它们必须共享安全和配置数据。

服务器用户管理 6.监视登录尝试

入侵防御软件，监控使用的登录尝试的是保护服务器免受暴力攻击的方法。这些数据自动进行攻击使用反复试验的方法，尝试通过使用字母和数字的所有学生可能组合来访问系统。

入侵预防软件将监视所有日志文件并检测可疑登录尝试。如果我们尝试次数超过了设定的标准，则入侵防御系统软件企业会在未来一段时间内甚至可以无限期地阻止IP地址。

7.管理用户

每个服务器有一个根用户可以执行任何命令。由于它的强大功能，如果根目录落入错误思想的人自己手中，则根目录对服务器可能会影响非常重要危险。完全禁用SSH中的root登录是一种普遍的做法。

因为root用户拥有最大的力量，黑客们把注意力集中在试图破解那个特定用户的密码上..如果您可以决定一个完全禁用该用户，则将使攻击者处于发展严重影响不利境地，并使服务器免受潜在安全威胁。

为了确保外人不滥用root权限，你可以创建一个受限用户帐户。该帐户没有相同的权限root帐户，但你仍然可以使用sudo命令来执行管理任务。

因此，您可以将大多数工作任务就是作为发展受限用户帐户进行企业管理，并仅在必要时使用根帐户。

服务器密码安全 8.建立密码要求

首先是设置服务器上所有社会成员企业必须严格遵循的密码要求和规则。

不允许空密码或默认密码。强制设定最小密码长度和复杂性。锁定政策的制定。不要使用可还原的加密来存储密码。 强制会话超时保持不活动并启用双因素身份验证。

9.设置密码过期策略

为用户可以建立一个要求时，设置密码的到期日期是另一种生活常规做法。根据自己所需的安全管理级别，密码可能会出现持续几周或几个月。

10.对服务器密码使用密码短语

使用密码而不是密码可以提高服务器安全性有很多原因。 两者的主要区别在于密码短语较长，单词包含空格。因此，它通常是一个句子，但不一定是一个。

例如，密码口令可能是：Ilove！ToEatPizzaAt1676MainSt。

给定的示例比通常的密码长，包含大小写字母、数字和唯一字符。

此外，比一串随机字母更容易记住密码短语。最后，由于它包含49个字符，因此破解起来比较困难。

11.密码不要

如果您想维护一个安全的服务器，您需要避免一些关于您的密码。首先，请注意存储密码的位置。不要写在纸上，并把它们藏在办公室。

通常建议不要使用个人信息，如您的生日，家乡，宠物的名字以及其他可以成为你的（用户）密码连接到信息。这些都是很容易被猜到的，特别是对那些知道你是谁。

仅包含一个简单词典进行单词的密码也很容易破解，尤其是我们通过数据词典（强力）攻击。注意自己相同的风险，请尝试可以避免在同一个人密码中重复字符序列。

最后，不要对多个帐户使用相同的密码。 通过回收你的密码，你将面临很大的风险。如果黑客设法访问单个帐户，则其他国家所有学生使用具有相同密码的其他帐户都可能我们处于危险之中。 尝试为每个单独的帐户使用不同的密码，并使用密码管理器，如KeePass来跟踪它们。

其他确保服务器安全的最佳做法 12.定期更新和发展升级软件

定期进行更新管理服务器上的软件是确保其免受黑客攻击的关键技术步骤。已经没有针对过时的软件开发了弱点，使黑客技术可以通过利用我们这些弱点并损害您的系统。 如果你保持一切最新，确保它在第一道防线上更新，以保护自己。

自动进行更新是一种可以确保企业不会忘记任何更新的方法。但是，它允许系统做出这些改变可能会在自己的风险。 在更新生产环境之前，最好检查更新在测试环境中的实现情况。

务必请定期更新服务器控制面板。 您还需要定期更新内容管理系统（如果使用）和它可能具有的任何插件。每个新版本包含的安全补丁，以解决已知的安全问题。

13.删除或关闭所有不必要的服务

通过减少所谓的攻击介质来提高服务器安全性。

此网络安全术语是指仅为保持服务运行而安装和维护所需的最低要求。 只需启用操作系统和安装组件使用的网络端口。系统上的资源管理越少企业越好。

Windows OS服务器应仅具有必需的操作系统组件。Linux操作系统服务器的安装应最少，仅安装真正必要的软件包。

由于大多数Linux发行版都侦听Internet上的传入连接，因此您希望将防火墙配置为仅允许特定端口，并拒绝所有其他不必要的通信。

在系统上安装一个软件设计之前，请检查相关性，以确保企业没有通过添加不需要的内容。 此外，检查哪些依赖项在系统上自动启动，以及是否需要它们。

14.隐藏服务器信息

请尽可能提供有关基础资料很少。要知道尽可能少的服务器上。

另外，最好可以隐藏信息服务器上已安装的任何一个软件的版本号。默认情况下，他们通常会透露确切的发布日期，它可以帮助黑客寻找弱点。通常，通过从其问候语的HTTP标头中可以删除此信息来删除该信息技术很简单。

15.使用入侵检测系统

要检测任何未经授权的活动，请使用入侵检测系统（IDS）（例如Sophos）来监视服务器上运行的进程。 您能否将其设置为检查常规操作、运行常规自动扫描或决定运行手动IDS。

16.文件审核

文档审核是发现系统上不必要的更改的另一个好方法。

当系统发展处于一个良好的“健康”状态时，它会记录管理系统的所有特征，并将其与当前状态信息进行分析比较。通过边在同一系统的两个版本的比较，你可以在所有的不一致探测和跟踪它们的来源。

17.服务审核

服务审计探索服务器上的运行服务、它们的协议以及它们通过哪些端口进行通信。了解我们这些细节有助于配置信息系统中的攻击面。

18.设置和维护防火墙

通过控制和限制对系统的访问来保护服务器的安全。

使用CSF（ConfigServer和防火墙）对于加强服务器的安全性至关重要。它仅允许特定的重要方式连接，从而进行限制了对其他企业服务的访问。

或者当你更改防火墙设置的初始服务器设置过程中由服务器提供的服务。 默认情况下，典型的服务器运行不同的服务，包括公共服务、私有服务和内部服务。

公共服务通常由需要允许访问网站的Web服务器运行。任何人通常都可以通过Internet匿名访问这些服务。 例如，在处理系统数据库进行控制面板时使用私有信息服务。在这种情况下，许多选定人员管理需要进行访问同一时间地点。他们已授权帐户与服务器内部的特殊权限。 内部服务是不应接触互联网或外部的服务。它们只能从服务器进行内部控制访问，并且仅接受中国本地连接。

防火墙是用户被授权允许，限制和过滤接入服务。配置防火墙限制，除了必要的服务器服务的所有服务。

19.备份服务器

虽然上述措施的目的是保护服务器的数据，但是，关键是出现问题时的备份系统。

关键数据的加密备份存储异地或云解决方案。

无论您是自动备份作业设计还是可以手动备份作业，请确保企业执行此预防控制措施的常规操作。 此外，您应该测试备份并进行完整的备份测试。 这应该包括一个“健康检查”，管理员甚至最终用户可以检查数据恢复是否一致。

20.创建多服务器环境

隔离是您可以通过拥有的最佳服务器进行保护类型企业之一。

完全分离将需要有专用的裸机服务器，不与其他服务器共享任何组件。虽然这是最易于管理，并提供了最大的安全方法，但它也是最昂贵的。

可以使用数据中心中的隔离执行环境执行所谓的占空比分离(SOD)，并且根据服务器执行的功能设置服务器配置。

单独的数据库服务器和Web应用服务器是一个标准的安全措施。独立的执行环境是特别有利的买不起大型企业的任何安全漏洞。

独立的数据库进行服务器可保护我们来自黑客的敏感数据信息和系统设计文件，这些黑客设法获得对管理帐户的访问控制权限。此外，隔离允许系统管理员通过Web应用防火墙的设置来配置每个Web应用程序安全性并减少攻击面。

21.创建虚拟隔离环境

如果无法负担或不需要使用专用服务器组件进行完全隔离，也可以选择隔离执行环境。

这样做可以帮助您处理可能出现的任何安全问题，确保其他数据不受影响。您可以在容器或VM虚拟化之间信息进行分析选择，它们更易于学生设置。