在本文中，小編將分享網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧。在實(shí)際環(huán)境中部署服務(wù)器之前，請(qǐng)遵循以下步驟以確保其安全。盡管每個(gè)Linux發(fā)行版各不相同，但其基本概念本質(zhì)上是相同的。完成此配置后，我們的服務(wù)器將得到很好的保護(hù)，免受常見的安全威脅。

網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧

1、設(shè)置互聯(lián)網(wǎng)協(xié)議 (IP)

為了它可以建立互聯(lián)網(wǎng)連接，我們必須首先為服務(wù)器提供ip地址和主機(jī)名。大多數(shù)服務(wù)器將需要我們使用靜態(tài)ip地址以確保客戶可以從一致的位置訪問資源。如果我們的網(wǎng)絡(luò)使用VLAN，請(qǐng)考慮服務(wù)器網(wǎng)段的隔離程度以及它在更廣泛的網(wǎng)絡(luò)結(jié)構(gòu)中的位置。

如果不需要IPv6，請(qǐng)將其關(guān)閉。應(yīng)小心指定服務(wù)器配置的名稱、域和 DNS服務(wù)器信息。“nslookup（類Unix操作系統(tǒng)命令）”應(yīng)該用于驗(yàn)證名稱解析是否在兩個(gè)或多個(gè)DNS服務(wù)器上正常工作。

2、用戶偏好

在繼續(xù)之前，我們必須先更新服務(wù)器上的根密碼。我們的密碼應(yīng)包括大小寫字母以及數(shù)字、符號(hào)和標(biāo)點(diǎn)符號(hào)的組合。如果密碼不包含至少八個(gè)字符，則本地使用的帳戶的歷史記錄、鎖定和復(fù)雜性要求可能會(huì)受到影響。需要更高權(quán)限的用戶應(yīng)該被授予sudo訪問權(quán)限，作為替代用戶，而不是依賴root用戶。

3、套餐

在設(shè)置服務(wù)器時(shí)，無論出于何種原因，安裝未包含在分發(fā)版中的任何我們需要的額外軟件。PHP、NGINX、MongoDB 以及pear等各種配套工具是最常用的軟件包。較小的服務(wù)器占用空間將消除不再需要的軟件，因此，從服務(wù)器中刪除不需要的包將有利于提高性能。如果我們很快再次需要它們的專門服務(wù)，使用我們的發(fā)行版的包管理系統(tǒng)可以很容易地重新安裝它們。

4、防火墻和iptables

即使默認(rèn)的iptables設(shè)置沒有打開您需要的端口，仔細(xì)檢查設(shè)置以確保它們正確始終是個(gè)好主意。為了讓我們的服務(wù)器保持良好運(yùn)行，應(yīng)該只打開必要的端口。如果防火墻保護(hù)我們的服務(wù)器，請(qǐng)考慮阻止除最關(guān)鍵流量之外的所有流量。即使我們的iptables/防火墻默認(rèn)配置為受限，也請(qǐng)記住打開我們的服務(wù)器配置所需的一切。

5、安裝和配置

仔細(xì)檢查以查看是否必須更新任何已安裝的服務(wù)器軟件包。因此，跟上最新的內(nèi)核和默認(rèn)軟件至關(guān)重要。如有必要，可以使用早期版本，但我們建議使用最新版本，因?yàn)樗踩橄Ｍ３周浖钚碌膫€(gè)人提供了自動(dòng)更新機(jī)制。

安裝必要的軟件包后，我們必須將服務(wù)器的軟件保持在最新狀態(tài)。我們添加的所有內(nèi)容，包括內(nèi)核和任何預(yù)配置的設(shè)置。始終使用最新的生產(chǎn)版本以確保系統(tǒng)安全。在絕大多數(shù)情況下，將提供我們的包管理系統(tǒng)支持的最新版本。我們應(yīng)該在包管理工具中為自己在此服務(wù)器上托管的服務(wù)設(shè)置自動(dòng)更新。

6、設(shè)置NTP協(xié)議

我們的服務(wù)器時(shí)間可以使用NTP服務(wù)器同步，是否要使用每個(gè)人都可以訪問的外部NTP時(shí)間服務(wù)器取決于自己。最重要的是保持服務(wù)器時(shí)鐘不偏離實(shí)際時(shí)間。例如，由于服務(wù)器和驗(yàn)證它們的基礎(chǔ)設(shè)施之間的時(shí)間偏差，可能會(huì)出現(xiàn)驗(yàn)證問題。盡管看起來很簡(jiǎn)單，但必須仔細(xì)維護(hù)這一關(guān)鍵基礎(chǔ)設(shè)施。

7、增加服務(wù)器配置的SSH安全性

就像Windows有一個(gè)命令行界面一樣，Linux也有一個(gè)。SSH是一種流行的登錄Linux系統(tǒng)以進(jìn)行管理的方法。作為一項(xiàng)安全預(yù)防措施，請(qǐng)確保限制root用戶的SSH訪問可以防止遠(yuǎn)程攻擊。

此外，如果一組特定的用戶或客戶端使用我們的服務(wù)器，可以限制對(duì)某些ip地址的訪問。更改默認(rèn)的SSH端口號(hào)可以保護(hù)我們免受黑客和罪犯的侵害，因?yàn)楹?jiǎn)單的掃描可能會(huì)顯示我們的開放端口。服務(wù)器的配置并不像我們想象的那么復(fù)雜，但確實(shí)需要非常注意細(xì)節(jié)以提供最高級(jí)別的安全性。使用基于證書的身份驗(yàn)證和禁用密碼身份驗(yàn)證是防止SSH攻擊的最佳方法。

8、守護(hù)進(jìn)程設(shè)置和配置

刪除所有軟件包后，請(qǐng)確保將必要的應(yīng)用程序設(shè)置為在我們重新啟動(dòng)時(shí)自動(dòng)啟動(dòng)。為避免不必要的守護(hù)進(jìn)程，請(qǐng)務(wù)必停用它們。盡可能減少服務(wù)器的活動(dòng)足跡，只留下應(yīng)用程序所需的攻擊面區(qū)域。所有剩余的服務(wù)都應(yīng)該盡可能加固，以確保長(zhǎng)期穩(wěn)定。

9、使用SELinux和其他工具保護(hù)您的系統(tǒng)

Secure Linux (Security-Enhanced Linux)是Linux內(nèi)核的強(qiáng)化工具，讓管理員可以更好地控制誰可以訪問他們的服務(wù)器。它是SELinux、Secure Linux (SELinux)的真實(shí)實(shí)現(xiàn)。請(qǐng)使用狀態(tài)實(shí)用程序確定我們的系統(tǒng)是否正在運(yùn)行SELinux。如果大家收到一條通知說SELinux正在保護(hù)我們的數(shù)據(jù)，那么就是安全的。嚴(yán)格來說，“禁用”一詞意味著 SELinux不再處于活動(dòng)狀態(tài)，不再保護(hù)我們與服務(wù)器配置有關(guān)。

例如，Linux發(fā)行版依賴于MAC（強(qiáng)制訪問控制）。它是防止未經(jīng)授權(quán)訪問我們的計(jì)算機(jī)資源的防御措施。最好在啟用SELinux的情況下測(cè)試您的設(shè)置，以確保沒有任何合法內(nèi)容被阻止。MySQL和Apache等其他應(yīng)用程序可能會(huì)以各種方式得到強(qiáng)化。

10、記錄

在安裝該程序之前，請(qǐng)確保我們需要的日志記錄級(jí)別已啟用并且具有處理它的資源。創(chuàng)建日志記錄結(jié)構(gòu)后，我們將需要對(duì)該服務(wù)器進(jìn)行故障排除，這是現(xiàn)在開始的絕佳時(shí)機(jī)。大多數(shù)應(yīng)用程序都允許自定義日志記錄設(shè)置，但在數(shù)據(jù)過少和過多之間取得適當(dāng)?shù)钠胶饪赡苄枰M(jìn)行試驗(yàn)。存在許多第三方日志記錄系統(tǒng)，它們可以幫助處理從數(shù)據(jù)聚合到數(shù)據(jù)呈現(xiàn)的任何事情，但必須首先考慮每個(gè)環(huán)境的需求。之后，您將能夠更好地找到所需的裝備。

一開始，應(yīng)用這些程序可能需要一些時(shí)間。應(yīng)建立初始服務(wù)器設(shè)置策略以確保新計(jì)算機(jī)在我們的環(huán)境中的長(zhǎng)期生存能力。如果我們的服務(wù)器受到攻擊，不采取任何這些步驟的后果可能是災(zāi)難性的。即使確實(shí)發(fā)生了數(shù)據(jù)泄露，如果我們遵循這些建議，黑客也很難獲取自己的個(gè)人信息。

以上是網(wǎng)絡(luò)服務(wù)器安裝和配置的基本技巧分享，希望對(duì)大家會(huì)有所幫助。