linux服務(wù)器如何防止被黑客入侵?事實上,部分公司許多非核心的服務(wù)器并未放置于自己的機房內(nèi),并且未必有硬件防火墻保護,這個時候我們應該如何防止黑客入侵呢?本節(jié)將給出一些保證系統(tǒng)安全的建議,但這些建議并未涵蓋全部的保證系統(tǒng)安全的方法,僅僅是幾點建議。
·系統(tǒng)的軟件應盡可能地及時更新,特別是有重大安全隱患的軟件。雖然經(jīng)常更新計算機系統(tǒng)是本節(jié)中提到的保證系統(tǒng)安全的方法中最容易實現(xiàn)的,但是這項工作卻經(jīng)常被忽視。計算機最容易被攻破的情況是讓其運行但卻從不對其進行更新。
Linux系統(tǒng)及開源軟件最強的性能之一就是它們的高安全性,而這是有原因的。當一個安全問題被揭露時,開源社區(qū)會在很短的時間內(nèi)提出解決方案,這為保證開源軟件的高安全性提供了條件。在問題發(fā)現(xiàn)的同一天就找到修復方案也是很常見的,甚至是以前從沒有見過的安全問題也有很多都在發(fā)現(xiàn)的當天就被解決了。
勤于更新軟件是保證系統(tǒng)安全很重要的一方面,雖然推薦盡可能經(jīng)常地更新軟件,但是我們也要密切注意關(guān)注正在更新的軟件,要保證所有的更新都不會影響正常的系統(tǒng)運行。
·保證內(nèi)部網(wǎng)的安全。很多時候為了安全,我們將核心生產(chǎn)服務(wù)器放置在公司內(nèi)部的機房中,然后將注意力和精力放在外網(wǎng)的防護工作上面,于是疏忽了內(nèi)部的安全性,這個時候服務(wù)器會很容易被人從內(nèi)部進行破壞。
正確的做法有許多種,比如應該將重要的生產(chǎn)服務(wù)器放在DMZ區(qū)域,跟我們的內(nèi)網(wǎng)隔離開來,這樣即使內(nèi)部網(wǎng)絡(luò)被人破壞或被人入侵,也不會影響生產(chǎn)服務(wù)器。像我們的線上環(huán)境,除了跳板機以外均沒有開放公網(wǎng)SSH端口,而且重要區(qū)域的跳板機,只能允許特定的公網(wǎng)IP地址進行SSH連接。
·應盡可能最小化安裝服務(wù)器和運行最少的服務(wù)。通過這么多年的系統(tǒng)相關(guān)工作實踐,我們發(fā)現(xiàn),安裝包最小的服務(wù)器相對而言是最為穩(wěn)定的。而只提供必要的基礎(chǔ)的核心服務(wù),也是提高我們的服務(wù)器安全穩(wěn)定性的方法之一。
·我們在內(nèi)核的強化上面也要做一些工作。多關(guān)注一下服務(wù)器的內(nèi)核漏洞,畢竟現(xiàn)在有關(guān)Linux的很多攻擊都是針對內(nèi)核的,應盡可能地采用穩(wěn)定的新內(nèi)核版本,筆者公司現(xiàn)在用的內(nèi)核版本為2.6.32-358.el6.x86_64和3.14.35-28.38.amzn1.x86_64,分別對應的是CentOS系統(tǒng)和AWS EC2云主機系統(tǒng)。
·如果條件允許的話,可以在我們的網(wǎng)站或系統(tǒng)關(guān)鍵位置的服務(wù)器上部署snort,snort是一個非常優(yōu)秀的開源入侵檢測軟件,它集成了同類軟件中最先進的技術(shù),我們可以利用snort的警報找出攻擊者而做出相應的防范措施。
985大學 211大學 全國院校對比 專升本