907
技術社區[雲棲]
高防服務器降低風險的10種方法
各種漏洞,病毒,以及黑客的攻擊證明,網絡安全是當前開始線上業務的關鍵問題。
網站高防服務器是最好的防護病毒,黑客攻擊的手段之一,它們可以保護儲存在高防服務器上的敏感數據。
一個安全的高防服務器,配置和維護是一個長期的共總。采取一些操作可以讓服務器更加安全,且降低服務器的維護成本,以下帝通科技講解一下。
你的服務器是否安全?來源www.ddvidc.com
1.刪除不必要的服務
默認的操作係統安裝和配置不安全。在典型的默認安裝中,安裝了不在Web服務器配置中使用的許多網絡服務,例如遠程注冊表服務,打印服務器服務,RAS等。在操作係統上運行的服務越多,端口越多留下開放,從而為惡意用戶留下更多的開放門檻。關閉所有不必要的服務並禁用它們,因此下次重新啟動服務器時,它們不會自動啟動。通過釋放一些硬件資源,關閉不必要的服務也將為您的服務器性能提供額外的提升。
2、遠程訪問
盡管如今,服務器管理員盡可能在本地登錄到Web服務器是不現實的。如果需要遠程訪問,則必須通過使用隧道和加密協議確保遠程連接得到正確的保護。使用安全令牌和其他單點登錄設備和軟件,是一個非常好的安全實踐。遠程訪問也應僅限於特定數量的IP和特定帳戶。使用公共計算機或公共網絡遠程訪問公司服務器也是非常重要的,例如在網吧或公共無線網絡中。
3、獨立的開發/測試/生產環境
由於開發人員在生產服務器上開發較新版本的Web應用程序變得更加容易和快捷,因此開發和測試Web應用程序是直接在生產服務器本身上完成的。在互聯網上發現一個特定網站的較新版本,或某些內容,這些內容在/ test /,/ new /或其他類似的子目錄等目錄中不能公開。因為這樣的Web應用程序處於早期開發階段,所以它們往往會有一些漏洞,缺少輸入驗證,並且不能適當地處理異常。這樣的應用程序可以通過在互聯網上使用免費的可用工具,很容易被惡意用戶發現和利用。
為了更輕鬆地開發和測試Web應用程序,開發人員傾向於開發特定的內部應用程序,使其能夠訪問Web應用程序,數據庫和其他Web服務器資源,這是一個正常的匿名用戶不會擁有的。這樣的應用程序通常沒有任何限製,因為它們隻是被訪問的測試應用程序,應該僅由開發者訪問。不幸的是,如果在生產服務器上進行開發和測試,則可以輕鬆地從惡意用戶發現這樣的應用程序,這可能有助於他在生產服務器上妥協並獲得訪問。
理想情況下,Web應用程序的開發和測試應始終在與互聯網隔離的服務器上進行,並且不應使用或連接到現實生活中的數據和數據庫。
4。Web應用內容和服務器端腳本
Web應用程序或網站文件和腳本應始終位於與操作係統,日誌和任何其他係統文件不同的分區或驅動器上。通過經驗,我們了解到,訪問網絡根目錄的黑客能夠利用其他漏洞,並能夠進一步提高其權限,以獲得對整個光盤數據的訪問權限,包括操作係統等係統文件。從那時起,惡意用戶可以訪問執行任何操作係統命令,從而完全控製Web服務器。
5、權限和特權
文件和網絡服務權限在Web服務器安全性中起著至關重要的作用。如果通過網絡服務軟件破壞Web服務器引擎,則惡意用戶可以使用運行網絡服務的帳戶執行任務,例如執行特定文件。因此,始終分配運行特定網絡服務所需的最少權限(如Web服務器軟件)非常重要。為訪問網站,Web應用程序文件以及後端數據和數據庫所需的匿名用戶分配最低權限也是非常重要的。
6.及時安裝所有安全補丁
雖然完全修補軟件並不一定意味著您的服務器是完全安全的,但使用最新的安全補丁更新操作係統和其上運行的其他軟件仍然非常重要。直到今天,黑客事件仍然發生,因為黑客利用未利用的服務器和軟件。
7.監控和審核服務器
存在於Web服務器中的所有日誌應理想地存儲在隔離區域中。所有網絡服務日誌,網站訪問日誌,數據庫服務器日誌(例如Microsoft SQL Server,MySQL,Oracle)和操作係統日誌都應該經常進行監控和檢查。應該永遠在尋找奇怪的日誌條目。日誌文件傾向於提供有關攻擊嚐試的所有信息,甚至是成功的攻擊,但大多數時候這些信息被忽略。如果有人注意到日誌中的奇怪的活動,應立即升級,以便調查問題以查看發生的情況。
8.用戶帳號
應禁用在操作係統安裝期間創建的未使用的默認用戶帳戶。還有一長串軟件,當安裝時,在操作係統上創建用戶帳戶。此類帳戶也應該被正確檢查,需要更改權限。內置的管理員帳戶應該被重命名,不能被使用,對於linux / unix安裝的root用戶來說也是如此。訪問Web服務器的每個管理員都應該擁有自己的用戶帳戶,需要正確的權限。也不是分享對方的用戶帳號的良好的安全實踐。
9、刪除所有未使用的模塊和應用程序擴展
默認的Apache安裝中啟用了許多預定義的模塊,在典型的Web服務器場景中不被使用,除非它們是特別需要的。關閉這些模塊以防止對這些模塊的針對性攻擊。
這同樣適用於微軟的Web服務器; 互聯網信息服務。默認情況下,IIS配置為提供大量應用程序類型,例如ASP,ASP.NET等。應用程序擴展名單應僅包含網站或Web應用程序將要使用的擴展名單。每個應用程序擴展也應該僅限於在可能的情況下使用特定的HTTP動詞。
10.使用隨Web服務器軟件提供的安全工具
Microsoft發布了許多工具來幫助管理員保護IIS Web服務器安裝,例如URL掃描。還有一個名為mod_security的模塊用於Apache。雖然配置這樣的工具是一個繁瑣的過程,並且可能是耗時的,特別是對於定製Web應用程序,它們增加了一些額外的安全性和一點心靈。
11、保持通知
現在,所使用的軟件和操作係統的信息和提示可以在互聯網上自由發現。通過閱讀安全相關的雜誌和訂閱通訊,論壇或任何其他類型的社區,了解新的攻擊和工具是非常重要的。
12.使用掃描儀
掃描儀是方便的工具,可幫助您自動化並簡化Web服務器和Web應用程序的安全保護過程。Acunetix Web Vulnerability Scanner還附帶一個端口掃描器,當啟用時,端口將掃描托管正在掃描的Web應用程序的Web服務器。與網絡安全掃描程序類似,Acunetix WVS將針對您的Web服務器上運行的開放端口和網絡服務啟動一些高級安全檢查。
Acunetix Web漏洞掃描程序通過檢查SQL注入,跨站點腳本,Web服務器配置問題和其他漏洞來確保網站和Web服務器的安全性。它檢查身份驗證頁麵上的密碼強度,並自動審核購物車,表單,動態Web 2.0內容和其他Web應用程序。隨著掃描的完成,該軟件產生詳細的報告,以確定哪些漏洞存在。
最後更新:2017-10-26 15:03:44