现在比以往任何时候,我们生活在一个不断受到安全漏洞侵扰的世界中,这些漏洞的动机是获取高度敏感和机密的数据,这些数据具有极高的价值,并带来巨大的财务回报。
令人惊讶的是,尽管处于潜在的毁灭性网络攻击风险之中,大多数公司并没有做好充分的准备,或者简单地忽视了警告信号,往往造成严重后果。
2016年,Equifax遭受了一次灾难性的数据泄露,数百万高度机密的客户记录在一系列安全疏忽之后被盗。一份详细的报告表明,如果Equifax的安全团队采取了正确的安全措施,这次泄露是可以预防的。
事实上,就在泄露发生几个月前,Equifax被警告其网络门户存在潜在漏洞,可能会危及其安全,但遗憾的是,这个警告被置之不理,造成了严重后果。许多其他大型公司也成为攻击的受害者,而这些攻击随着时间的推移而变得越来越复杂。
我们无法再次强调您的Linux系统安全性有多么重要。您可能不是一个备受关注的金融机构,可能成为攻击目标,但这并不意味着您应该放松警惕。
安全应是您设置 Linux 服务器时首要考虑的事项,特别是如果它将连接到互联网并远程访问。具备基本的安全技能对于保护 Linux 服务器至关重要。
在本指南中,我们重点介绍一些基本的安全措施,以保护您的系统免受入侵。
网络攻击向量
入侵者将利用各种攻击技术来访问您的 Linux 服务器。在深入探讨您可以采取的一些措施以保护系统之前,让我们先了解一些黑客可以利用的常见攻击向量。
1. 暴力攻击
A brute-force attack is an attack where the hacker uses trial and error to guess the login credentials of the user. Usually, the intruder will use automated scripts to continuously gain entry until the right combination of the username and password is obtained. This kind of attack is most effective where weak & easily guessable passwords are used.
2. 弱凭证
如前所述,弱凭证,例如短且容易猜测的密码,比如 password1234,会对您的系统造成潜在风险。密码越短、越不复杂,您的系统被破坏的可能性就越高。
3. 钓鱼
钓鱼是一种社会工程技术,攻击者向受害者发送一封看似来自合法机构、您认识或与之做生意的人的电子邮件。
通常,电子邮件会包含提示受害者泄露敏感信息的指令,或者可能包含一个链接,该链接会将他们引导到一个假冒的网站,该网站冒充公司的网站。一旦受害者尝试登录,他们的凭据就会被攻击者捕获。
4. 恶意软件
恶意软件是恶意软件的简称。它包括病毒、木马、蠕虫、勒索软件等广泛范围的恶意应用程序,这些应用程序被设计用来快速传播并劫持受害者的系统以换取赎金。
这类攻击可能是毁灭性的,可以瘫痪一个组织的业务。有些恶意软件可以注入到文档中,如图像、视频、Word或PowerPoint文档,并打包在钓鱼邮件中。
5. 拒绝服务攻击(DoS)
A DoS attack is an attack that limits or impacts the availability of a server or computer system. The hacker floods the server with traffic or ping packets that render the server inaccessible to users for prolonged durations.
A DDoS (Distributed Denial of Service) attack is a kind of DoS that employs multiple systems that flood a target with traffic rendered it unavailable.
6. SQL注入攻击
SQL是结构化查询语言的缩写,SQL是一种用于与数据库通信的语言。它允许用户在数据库中创建、删除和更新记录。许多服务器将数据存储在关系数据库中,这些数据库使用SQL与数据库进行交互。
SQL注入攻击利用已知的SQL漏洞,通过注入恶意SQL代码使服务器泄露它通常不会泄露的敏感数据库信息。如果数据库存储了信用卡号、社会安全号码和密码等个人身份信息,这将构成巨大风险。
7. 中间人攻击
通常被缩写为MITM,中间人攻击涉及攻击者在两个点之间拦截信息,目的是监听或修改双方之间的流量。目的是监视受害者,篡改数据或窃取敏感信息。
保护您的Linux服务器的基本提示
我们已经了解了攻击者可能用来破坏您系统的潜在途径,现在让我们回顾一些可以采取的基本措施来保护您的系统。
1. 物理安全
对服务器的物理位置和安全性的考虑并不多,但是,如果您要在本地环境中拥有服务器,这通常是您开始的地方。
确保您的服务器安全地存放在具有备用电源、冗余互联网连接和足够冷却的数据中心中非常重要。数据中心的访问应仅限于授权人员。
2. 更新您的系统仓库和软件包
服务器设置完成后,首先要采取的步骤是更新仓库和应用程序软件包,如下所示。更新软件包可以修补应用程序现有版本中可能出现的漏洞。
对于Ubuntu / Debian发行版:
$ sudo apt update -y $ sudo apt upgrade -y
对于RHEL / CentOS发行版:
$ sudo yum upgrade -y
3. 启用防火墙
A firewall is an application that filters incoming and outgoing traffic. You need to install a robust firewall such as the UFW firewall and enable it to only allow the required services and their corresponding ports.
例如,您可以使用以下命令在Ubuntu上安装它:
$ sudo apt install ufw
安装完成后,按照以下步骤启用它:
$ sudo ufw enable
要允许像HTTPS这样的服务,运行以下命令;
$ sudo ufw allow https
或者,您可以允许其对应的端口,即443。
$ sudo ufw allow 443/tcp
然后重新加载以使更改生效。
$ sudo ufw reload
要检查防火墙的状态,包括允许的服务和打开的端口,运行
$ sudo ufw status
4. 关闭任何不必要的服务/端口
此外,考虑关闭防火墙上任何未使用或不必要的服务和端口。拥有多个未使用的端口只会增加攻击面。
5. 保护SSH协议
默认的SSH设置不安全,因此需要进行一些调整。请确保执行以下设置:
对于第一点,编辑/etc/ssh/sshd_config文件,并将以下参数修改为所示。
PermitRootLogin no
一旦您禁止root用户远程登录,创建一个常规用户并赋予sudo权限。例如。
$ sudo adduser user $ sudo usermod -aG sudo user
要启用无密码身份验证,首先前往另一台Linux电脑——最好是您的个人电脑,生成SSH密钥对。
$ ssh-keygen
然后将公钥复制到您的服务器上。
$ ssh-copy-id user@server-IP
登录后,确保通过编辑/etc/ssh/sshd_config文件并修改显示的参数来禁用密码身份验证。
PasswordAuthentication no
请注意不要丢失您的ssh私钥,因为那是您登录的唯一途径。将其安全保存,并最好在云端备份。
最后,重新启动SSH以使更改生效。
$ sudo systemctl restart sshd
总结
在不断演变的网络威胁世界中,安全应该是您在设置Linux服务器时的首要任务。在本指南中,我们强调了一些您可以采取的基本安全措施来加固您的服务器。在下一个主题中,我们将深入探讨并查看您可以采取的额外步骤来强化您的服务器。