- 掛牌上市企業(yè)
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
保護服務器操作系統(tǒng)安全的十大方法 |
| 發(fā)布時間: 2012/5/15 18:36:16 |
|
保護通用服務器操作系統(tǒng)安全的十大方法 月付服務器安全攻略 首先自我介紹下,我是星石科技,專業(yè)的IDC服務商。想必前段時間,國內(nèi)最大的程序員網(wǎng)站CSDN網(wǎng)站被曝600多萬用戶的數(shù)據(jù)庫信息被黑客公開下面,隨后網(wǎng)上又出現(xiàn)嘟嘟牛、7K7K、多玩網(wǎng)、178游戲網(wǎng)等多家網(wǎng)站用戶數(shù)據(jù)庫泄露的消息,一場互聯(lián)網(wǎng)年末的恐慌如多米諾骨牌般迅速傳導。 下面就說下本人的一些個人意見和建議。雖然不能完全防止,但也能在一定程度上預防。 一、使用強密碼 要提高安全性,最簡單的方法之一就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣一種攻擊:攻擊者使用自動系統(tǒng)來盡快猜中密碼,希望不用多久就能找出正確的密碼。 密碼應當包含特殊字符和空格、使用大小寫字母,避免單純的數(shù)字以及能在字典中找到的單詞;破解這種密碼比破解你家人的姓名或者你的周年紀念日期組成的密碼要難的多。另外要記住:密碼長度每增加一個字符,可能出現(xiàn)的密碼字符組合就會成倍增加。一般來說,不到8個字符的任何密碼都被認為太容易被破解。10個、12個甚至16個字符作為密碼來得比較安全。但也不要把密碼設得過長,以免記不住,或者輸入起來太麻煩。 二、做好邊界防御 不是所有的安全問題都發(fā)生在桌面系統(tǒng)上。使用外部防火墻/路由器來幫助保護你的計算機是個好想法,哪怕你只有一臺計算機。如果考慮低端產(chǎn)品,可以購買一個零售路由器設備,比如Linksys、D-Link和Netgear等廠商的路由器,可以從當?shù)氐碾娮赢a(chǎn)品商店買到。如果考慮比較高端的產(chǎn)品,可以向思科、Vyatta和Foundry Networks等企業(yè)級廠商購買管理型交換機、路由器和防火墻。 你也可以另辟蹊徑,“從頭開始”自行組裝防火墻;或者使用預先封裝的防火墻/路由器安裝程序來自行組建防火墻,比如m0n0wall和IPCoP,完全能做到功能與各大企業(yè)級廠商的解決方案不相上下。代理服務器、防病毒網(wǎng)關和垃圾郵件過濾網(wǎng)關也都有助于提高邊界的安全性。請記住:一般來說,交換機的安全功能勝過集線器;使用網(wǎng)絡地址轉換(NAT)協(xié)議的路由器勝過交換機;防火墻絕對是必不可少的設備。 三、更新軟件 盡管在很多情況下,把補丁部署到生產(chǎn)系統(tǒng)之前先進行測試之類的問題可能極其重要,但安全補丁最終還是必須部署到系統(tǒng)上。如果長時間沒有更新安全補丁,可能會導致你使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。 別讓安裝在計算機上的軟件遲遲沒有打上最新的安全補丁。同樣的情況適用于任何基于特征碼的惡意軟件保護軟件,比如反病毒軟件(如果你的系統(tǒng)需要它們):只有它們處于最新版本狀態(tài),添加了最新的惡意軟件特征碼,才能發(fā)揮最佳的保護效果。 四、關閉沒有使用的服務 計算機用戶常常甚至不知道自己的系統(tǒng)上運行著哪些可以通過網(wǎng)絡訪問的服務。Telnet和FTP是兩種經(jīng)常會帶來問題的服務:如果你的計算機不需要這兩種服務,就應當關閉。確保你了解在計算機上運行的每一種服務,并且知道它為什么要運行。在某些情況下,這可能需要弄清楚該服務對你特定需要的重要性,以便不會犯在微軟Windows計算機上關閉遠程過程調(diào)用(RPC)服務這樣的錯誤,而且不會禁用登錄,不過關閉實際上沒有使用的服務始終是個好想法。 五、使用數(shù)據(jù)加密 對關注安全的計算機用戶或者系統(tǒng)管理員來說,有不同級別的數(shù)據(jù)加密方法可供使用;選擇合理的加密級別以滿足自己的需要,這必須根本實際情況來決定。數(shù)據(jù)加密方法有很多,從使用密碼工具對文件逐個加密,到文件系統(tǒng)加密,直到整個磁盤的加密。 上述加密方法通常不包括引導分區(qū),因為那樣需要專門硬件幫助解密;但是如果非常需要加密引導分區(qū)以確保隱私、有必要投入這筆開支,也可以獲得這種整個系統(tǒng)的加密。針對除了引導分區(qū)加密外的任何應用,每一種所需的加密級別都有許多種解決方案,包括可在各大桌面操作系統(tǒng)上實現(xiàn)整個磁盤加密的商業(yè)化專有系統(tǒng)和開源系統(tǒng)。 六、通過備份保護數(shù)據(jù) 對數(shù)據(jù)進行備份是你用來保護自己、避免災難的最重要的方法之一。確保數(shù)據(jù)冗余的策略有很多,既有像定期把數(shù)據(jù)拷貝到光盤上這樣簡單、基本的策略,也有像定期自動備份到服務器上這樣復雜的策略。如果系統(tǒng)必須維持不斷運行、服務又不得中斷,冗余廉價磁盤陣列(RAID)可以提供故障自動切換的冗余機制,以免磁盤出現(xiàn)故障。 像rsync和Bacula這些免費的備份工具可以把不管多么復雜的自動備份方案組合起來。像Subversion這些版本控制系統(tǒng)可以提供靈活的數(shù)據(jù)管理功能,那樣不但可以在另一臺計算機上進行備份;而且不用吹灰之力,就可以讓多臺桌面機或者筆記本電腦擁有同樣的最新數(shù)據(jù)。幾年前,我用來辦公的那臺筆記本電腦遇到了致命的硬盤故障,結果用這種方式使用subversion幫了大忙,這突出了定期備份關鍵數(shù)據(jù)的重要性。 七、加密敏感通信 用于保護通信、避免被人竊聽的密碼系統(tǒng)極其普遍。針對電子郵件的支持OpenPGP協(xié)議的軟件,針對即時通信(IM)客戶軟件的Off The Record插件,針對使用像SSH和SSL這些安全協(xié)議的持續(xù)通信的加密隧道軟件,以及許多其他工具,都用來確保數(shù)據(jù)在傳輸過程中沒有受到破壞。當然,在個人對個人的通信中,有時很難說服另一方使用加密軟件來保護通信,但有時候這種保護至關重要。 八、不要信任外來網(wǎng)絡 對于像本地咖啡店里面的無線網(wǎng)絡這樣的開放無線網(wǎng)絡,這一點顯得尤其重要。就因為你在安全方面非常謹慎,所以無法在咖啡店或者另外某個不可信任的外來網(wǎng)絡上使用無線網(wǎng)絡,這是沒有道理的。但關鍵是你必須通過自己的系統(tǒng)來確保安全;不要相信外來網(wǎng)絡很安全、遠離不懷好意的攻擊者。比如說在開放的無線網(wǎng)絡上,使用加密措施來保護敏感通信極其重要,包括連接到這樣的網(wǎng)站:使用登錄會話cookie來自動驗證身份,或者輸入用戶名和密碼。 不太明顯的一方面是,你要確保沒有在運行并不完全必要的任何網(wǎng)絡服務;因為如果存在沒有打上相應補丁的漏洞,這些服務就會被人利用。這適用于像NFS或者微軟CIFS這些網(wǎng)絡文件系統(tǒng)軟件、SSH服務器、活動目錄服務以及其他眾多可能使用的服務。里里外外檢查一下自己的系統(tǒng),查明不懷好意的攻擊者可能會借助怎樣的機會來企圖闖入你的計算機,并確保這些入口點采取盡可能合理的措施嚴加保護起來。在某些方面,這只是關閉不需要的服務、加密敏感通信這兩個安全方法的一種延伸;只不過在對待外來網(wǎng)絡時,你在允許系統(tǒng)上運行的服務以及自認為“敏感”的通信方面必須格外謹慎。 在不可信任的外來網(wǎng)絡上保護自己,實際上需要重新全面評估系統(tǒng)的安全狀況。 九、使用不間斷電源(UPS) UPS的作用不僅僅是停電時可以避免丟失文件。使用UPS還有更重要的原因,比如功率調(diào)節(jié)、避免文件系統(tǒng)受到損壞。由于這個原因,就要確保購買的UPS能夠與操作系統(tǒng)協(xié)同運行,以便通知操作系統(tǒng)什么時候UPS需要關閉,免得電源用盡時你不在家;還要確保購買的UPS可提供電池供電和功率調(diào)節(jié)功能。浪涌保護器根本不足以保護你的系統(tǒng)免遭“臟”電源的破壞。記住:UPS對保護你的硬件和數(shù)據(jù)而言都很關鍵。 十、監(jiān)控系統(tǒng)、查找安全威脅和漏洞 千萬不要想當然地認為:就因為已經(jīng)采取了一系列安全防備措施,系統(tǒng)就肯定不會遭到攻擊者的破壞。你應該總是要建立某種日常監(jiān)控機制,確保可疑事件會迅速引起你的注意;可以針對可能的安全漏洞或者安全威脅采取相應措施。我們不但需要把這種注意力放在網(wǎng)絡監(jiān)控上,還要放在完整性審查以及/或者其他的本地系統(tǒng)安全監(jiān)控技術上。 其他的安全防范措施可能適用,這要看你具體使用哪一種操作系統(tǒng)。有些操作系統(tǒng)由于設計上的特點,導致安全狀況不盡如這意,這就帶來了另外的安全挑戰(zhàn);而有些操作系統(tǒng)為有經(jīng)驗的系統(tǒng)管理員賦予了提高安全性的功能。無論你用的是像微軟Windows和Apple Mac OS X這樣的專有系統(tǒng),還是像Linux發(fā)行版、FreeBSD、NetBSD、甚至非常注重安全的OpenBSD這樣的開源系統(tǒng),在保護系統(tǒng)安全時都要牢記上面這幾點。 你選擇的操作系統(tǒng)采用了默認的安裝方法,沒有進一步考慮保護系統(tǒng)安全,卻足夠安全,這樣的情況只是極個別現(xiàn)象。不管你用的是什么操作系統(tǒng),都要從上面提到的幾個方面開始入手,然后考慮操作系統(tǒng)平臺的特定安全要求。系統(tǒng)安全的完整性不能靠運氣來保證。 本文出自:億恩科技【www.artduck.net】 |
0371-60135900
京公網(wǎng)安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
