現在比以往任何時候都更加重要,我們生活在一個組織不斷受到安全漏洞攻擊的世界,這些攻擊是為了獲取高度敏感和機密的資料,這些資料非常有價值,可以帶來巨大的財務回報。
令人驚訝的是,儘管面臨潛在的毀滅性網絡攻擊風險,大多數公司都沒有做好準備,或者簡單地忽視了警告信號,往往會造成嚴重後果。
2016年,Equifax遭受了一次災難性的數據洩漏,數百萬機密客戶記錄在一系列安全疏漏之後被竊取。一份詳細的報告指出,如果Equifax的安全團隊實施了正確的安全措施,這次洩漏是可以預防的。
事實上,在洩漏發生幾個月前,Equifax就收到了有關其網絡門戶潛在漏洞的警告,但可悲的是,這個警告被置之不理,帶來了嚴重後果。許多其他大型企業也成為了攻擊的受害者,這些攻擊每分每秒都在不斷增加著複雜性。
我們無法再次強調您的Linux系統的安全性有多重要。您可能不是一家受到攻擊威脅的高知名度金融機構,但這並不意味著您應該放鬆警惕。
安全應該是您在設置 Linux 伺服器時首要考慮的問題,特別是如果它將連接到互聯網並遠程訪問。擁有基本的安全技能對於保護您的 Linux 伺服器至關重要。
在本指南中,我們專注於一些您可以採取的基本安全措施,以保護您的系統免受入侵者的侵害。
網絡攻擊向量
入侵者將利用各種攻擊技術來訪問您的 Linux 伺服器。在我們深入探討您可以採取的一些措施來保護系統之前,讓我們先了解一些黑客可能用來滲透系統的常見攻擊向量。
1. 暴力攻擊
A brute-force attack is an attack where the hacker uses trial and error to guess the login credentials of the user. Usually, the intruder will use automated scripts to continuously gain entry until the right combination of the username and password is obtained. This kind of attack is most effective where weak & easily guessable passwords are used.
2. 弱密碼
正如之前所提到的,弱密碼,如短且容易猜測的密碼,例如password1234對您的系統構成潛在風險。密碼越短,越不複雜,您的系統被入侵的機會就越高。
3. 網路釣魚
網路釣魚是一種社交工程技術,攻擊者向受害者發送一封看似來自合法機構或您認識或與之做生意的人的電子郵件。
通常,電子郵件會包含指示,誘使受害者透露敏感信息,或者可能包含一個鏈接,將他們引導至一個假冒的網站,該網站冒充公司的網站。一旦受害者嘗試登錄,他們的憑證就會被攻擊者捕獲。
4. 惡意軟件
惡意軟件是惡意軟件的縮寫。它涵蓋了各種惡意的應用程序,如病毒、木馬、蠕蟲和勒索軟件,這些軟件設計用來快速傳播並挾持受害者的系統以換取贖金。
這類攻擊可能會造成嚴重的破壞,並可能使組織的業務癱瘓。某些惡意軟件可以注入到文檔中,例如圖像、視頻、Word或PowerPoint文檔,並包裝在釣魚電子郵件中。
5. 拒絕服務攻擊(DoS)
A DoS attack is an attack that limits or impacts the availability of a server or computer system. The hacker floods the server with traffic or ping packets that render the server inaccessible to users for prolonged durations.
A DDoS (Distributed Denial of Service) attack is a kind of DoS that employs multiple systems that flood a target with traffic rendered it unavailable.
6. SQL注入攻擊
SQL是結構化查詢語言的縮寫,SQL是用於與數據庫通信的語言。它允許用戶在數據庫中創建、刪除和更新記錄。許多服務器將數據存儲在關係數據庫中,這些數據庫使用SQL與數據庫交互。
SQL注入攻擊利用已知的SQL漏洞,通過注入惡意的SQL代碼使服務器泄露它通常不會透露的敏感數據庫信息。如果數據庫存儲了個人身份信息,如信用卡號碼、社會安全號碼和密碼,這就構成了巨大的風險。
7. 中間人攻擊
通常縮寫為MITM,中間人攻擊涉及攻擊者在兩個點之間攔截信息,目的是竊聽或修改兩方之間的流量。其目標是監視受害者、篡改數據或竊取敏感信息。
保護您的Linux伺服器的基礎提示
在了解了攻擊者可能用來入侵您系統的潛在入口之後,讓我們來看看您可以採取的一些基本措施來保護您的系統。
1. 物理安全
對於伺服器的物理位置和安全,人們往往不太重視,然而,如果您的伺服器將部署在本地環境中,這通常是您應該開始的地方。
確保您的伺服器安全地存放在一個具有備用電源、冗餘互聯網連接和充足冷卻能力數據中心中。對數據中心的訪問應僅限於授權人員。
2. 更新您的系統倉庫和軟件包
一旦伺服器設置完成,首先要採取的步驟是更新倉庫和應用軟件包,如下所示。更新軟件包可以修補應用程序現有版本中可能存在的任何漏洞。
對於Ubuntu / Debian發行版:
$ sudo apt update -y $ sudo apt upgrade -y
對於RHEL / CentOS發行版:
$ sudo yum upgrade -y
3. 啟用防火牆
A firewall is an application that filters incoming and outgoing traffic. You need to install a robust firewall such as the UFW firewall and enable it to only allow the required services and their corresponding ports.
例如,您可以在Ubuntu上使用以下命令安裝防火牆:
$ sudo apt install ufw
安裝完成後,啟用它如下:
$ sudo ufw enable
要允許像HTTPS這樣的服務,運行以下命令:
$ sudo ufw allow https
或者,您可以允許其對應的端口,即443。
$ sudo ufw allow 443/tcp
然後重新加載以使更改生效。
$ sudo ufw reload
要檢查防火牆的狀態,包括允許的服務和開放的端口,運行
$ sudo ufw status
4. 關閉任何不必要服務/端口
此外,考慮關閉防火牆上任何未使用或不必要服務和端口。擁有多個未使用的端口只會增加攻擊面。
5. 保護SSH協議
默認的SSH設置不安全,因此需要進行一些調整。請確保強制執行以下設置:
對於第一點,編輯/etc/ssh/sshd_config文件並將以下參數修改為所示。
PermitRootLogin no
一旦您禁用了root用戶遠程登錄,創建一個常規用戶並分配sudo權限。例如。
$ sudo adduser user $ sudo usermod -aG sudo user
為了啟用無密碼驗證,首先前往另一台Linux PC – 最好是您的PC並生成一對SSH金鑰。
$ ssh-keygen
然後將公開金鑰複製到您的伺服器
$ ssh-copy-id user@server-IP
登入後,確保停用密碼驗證,方法是編輯/etc/ssh/sshd_config文件並修改所示參數。
PasswordAuthentication no
請小心不要遺失您的ssh私密金鑰,因為那是您唯一可以登入的途徑。將其保持安全,並最好將其備份到雲端。
最後,重新啟動SSH以使更改生效
$ sudo systemctl restart sshd
總結
在這個充滿不斷演變的網絡威脅的世界中,安全應該是您在建立Linux伺服器時的高優先事項。在本指南中,我們強調了一些您可以採取的基本安全措施來加固您的伺服器。在下一個主題中,我們將更深入地探討您可以採取的額外步驟來強化您的伺服器。