1. 如何做好伺服器安全維護
近期接到很多站長的求助,伺服器被黑,網站被掛馬,快照被劫持等等。
在這里,我們(南昌壹基比)給大家講下加強伺服器和網站安全的方法。
一、關閉不常用的伺服器埠
1、我們網站用戶常用的埠一般有:FTP(21)、SSH(22)、遠程桌面(3389)、http(80)、https(443),以及部分管理面板需要使用到的特殊埠。如:寶塔(8888)等等 在這里,如果是網站用戶除了http(80)是必須常開的,其他的埠都可以在需要使用的時候再打開,使用完畢後立即關閉。
2、如果你使用了伺服器管理面板(linux),比如wdcp,wdcp默認的埠是8080,強烈建議你在wdcp後台修改默認的埠。(防止被惡意連接)
3、如果你使用的是windows系統的伺服器,我也強烈建議你修改windows系統默認的遠程連接埠。
4、FTP(21)是用來上傳網站源碼使用的,在不使用的情況下最好關閉掉,避免暴力破解等操作。
二、謹慎安裝不明來源的程序、插件
從互聯網下載的程序、插件,我們不敢保證100%的可信,所以請不要隨意安裝不明來源的程序和插件。一旦這些程序、插件帶有後門,那麼你的伺服器可能就GG了。
作為使用discuz的站長,插件、模板等盡量從discuz官方應用中心下載安裝,畢竟這些應用都是經過discuz應用中心審核過的,安全性有一定的保證。
使用wordpress的站長,安裝模板和插件時,先搜下wordpress後台的插件中心中是否有你需要的插件,如果沒有,再考慮從值得信賴的第三方網站下載插件。其他程序同理!
三、有條件的站長們可以考慮站庫分離(網站程序和資料庫分開來放置)
四、web伺服器磁碟許可權要做好。
刪除不必要的用戶,如:everyone(所有人,危險程度5星~)可以只保留administrator、system以及網站用戶即可
五、市面上有很多網站加固安全軟體可以適當安裝。
但是優化過程中要慎重,避免優化過度導致網站打開出問題。
六、定期對網站以及資料庫做備份。
(有條件的話異地備份最好)避免伺服器硬碟掛掉導致所有的辛苦付之一炬~
七、保存好伺服器的密碼和網站、資料庫密碼。
密碼要定期修改,盡可能的復雜一些
八、伺服器漏洞補丁修復。
有很多站長可能對補丁會有所忽略,補丁其實是重中之重,很多入侵者都是針對系統漏洞進行入侵
2. 關於維護伺服器安全的7個技巧
1、從基本做起,及時安裝系統補丁
不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意攻擊利用,是伺服器安全最重要的保證之一。
2、設置賬號和密碼保護
賬號和密碼保護可以說是伺服器系統的第一道防線,目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。一旦黑客進入了系統,那麼前面的防衛措施幾乎就失去了作用,所以對伺服器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。
3、安裝和設置防火牆
現在有許多基於硬體或軟體的防火牆,很多安全廠商也都推出了相關的產品。對伺服器安全而言,安裝防火牆非常必要。防火牆對於非法訪問具有很好的預防作用,但是安裝了防火牆並不等於伺服器安全了。在安裝防火牆之後,你需要根據自身的網路環境,對防火牆進行適當的配置以達到最好的防護效果。
4、定期對伺服器進行備份
為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了則兄蠢對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時塵虧(通常是硬碟出錯),可以及時地將系統恢復到正常狀態。
5、安裝網路殺毒軟體
現在網路上的病毒非常猖獗,這就需要在網路伺服器上安裝網路版的殺毒軟體來控制病毒傳播,同時,在網路殺毒軟體的使用中,必須要定期或及時升級殺毒軟體,並且每天自動更新病毒庫。
6、監測系統日誌
通過運行系統日誌程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日誌程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
7、關閉不需要的服務和埠
伺服器操作系統孫陪在安裝時,會啟動一些不需要的服務,這樣會佔用系統的資源,而且也會增加系統的安全隱患。對於一段時間內完全不會用到的伺服器,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。
3. 濡備綍閫氳繃鍐呯綉絀塊忓拰闃茬伀澧欒劇疆淇濇姢浜戞湇鍔″櫒鍏嶅彈榛戝㈡敾鍑伙紵
淇濇姢浜戞湇鍔″櫒錛氬唴緗戠┛閫忕殑絳栫暐
闈㈠歸粦瀹㈢殑棰戠箒鏀誨嚮錛屽逛簬緗戠粶瀹夊叏涓嶆槸涓撳剁殑nas鐢ㄦ埛鏉ヨ達紝濡備綍瀹堟姢浜戞湇鍔″櫒鏄懼緱灝や負鍏抽敭銆備竴涓綆鍗曚笖鏈夋晥鐨勬柟娉曟槸閫氳繃鍐呯綉絀塊忔妧鏈銆鍏抽敭鍦ㄤ簬鏂寮鏈嶅姟鍣ㄤ笌澶栭儴緗戠粶鐨勭洿鎺ヨ繛鎺ワ紝浣垮叾瀵歸粦瀹㈠彉寰楅毦浠ヨЕ鍙娿浣嗚繖騫墮潪瀹屽叏鏂緗戱紝鑰屾槸闄愬埗璁塊棶錛屼繚鐣欎簯鏈嶅姟鍣ㄧ殑鍥哄畾鍏緗慽p浠峰箋
瀹跺涵鍐呯綉閫氬父鐢變簬NAT鐨勫瓨鍦錛屽瑰栭儴涓誨姩璁塊棶鏄涓嶅紑鏀劇殑銆傝佽塊棶鍐呯綉錛岄渶瑕佷嬌鐢ㄥ俷ps鎴杅rp鐨勫唴緗戠┛閫忓伐鍏鳳紝鎴栬呭湪NAT涓婂壋寤轟竴涓鍔犲瘑闅ч亾錛屼嬌澶栫綉鑳戒笌鏈嶅姟鍣ㄥ畨鍏ㄩ氳銆備簯鏈嶅姟鍣ㄤ篃綾諱技錛岄氳繃闃茬伀澧欑$悊絝鍙o紝濡傚叧闂璼sh鐨22絝鍙o紝闄愬埗web鎺у埗闈㈡澘鐨勮塊棶錛屼互姝ゆ彁楂橀粦瀹㈢殑鏀誨嚮鎴愭湰銆
鍏蜂綋鎿嶄綔鏄璁劇疆闃茬伀澧欒勫垯錛屽叧闂涓嶅繀瑕佺殑鍏緗戠鍙o紝浠呭厑璁哥壒瀹氱殑鍔犲瘑闅ч亾榪涜屽畨鍏ㄩ氫俊銆備互鑵捐浜戜負渚嬶紝棣栧厛鍏抽棴榛樿ょ殑寮鏀劇鍙o紝鐒跺悗涓虹壒瀹氭湇鍔″紑鍚寮鏀捐勫垯錛屽8024絝鍙g粰nps浣跨敤銆傛帴鐫錛屼嬌鐢╳ireguard絳夐毀閬撳伐鍏峰壋寤哄姞瀵嗛毀閬擄紝閫氳繃鐢熸垚騫剁$悊縐侀掗鍜屽叕閽ワ紝涓烘湇鍔″櫒緙栧啓wg0.conf閰嶇疆鏂囦歡錛屽惎鍔ㄥ苟璁劇疆涓哄紑鏈鴻嚜鍚鍔ㄣ
瀹㈡埛絝涔熼渶瑕侀厤緗綾諱技鏂囦歡錛屼互紜淇濅笌鏈嶅姟鍣ㄧ殑閫氫俊銆傛渶鍚庯紝閫氳繃瀹夊叏闅ч亾鍦板潃鑰岄潪鍏緗慽p璁塊棶鏈嶅姟鍣錛屽10.78.0.1:22榪涜宻sh榪炴帴錛屽嵆鍙鍦ㄤ繚鎶ゆ湇鍔″櫒鐨勫悓鏃訛紝淇濇寔鍏跺姛鑳芥e父榪愯屻傝繖鏍鳳紝鍗充嬌闈㈠歸粦瀹㈡敾鍑伙紝浜戞湇鍔″櫒涔熸湁浜嗘洿寮哄ぇ鐨勯槻鎶ゆ満鍒躲
4. 如何保護你在電腦伺服器里的數據
要想保護好我們電腦伺服器里的數據安全,確保數據不會遺失,那麼我們就一定要提高自己的安全意識,只有提高了自己的安全意識,我們才能夠保護好自己電腦裡面的信息。除此之外,我們也要掌握一些電腦操作技術,如果因為自己電腦操作技術不行,導致自己的一些信息被傳到網路上去,這是萬萬不值得的,要正確的操作電腦系統,不能夠亂來,特別是自己弄好了一份文件,但是電腦突然卡機的時候,不要在鍵盤上亂按,這樣容易操作失誤,導致自己電腦裡面的數據被別人竊取。當前,信息安全十分的重要,如果自己都無法保證自己的信息處於自己的掌控之下,那麼這是十分危險的,一旦電腦伺服器裡面的數據被別人拿走以後,那麼將有可能導致嚴重的後果,對於一些科技公司而言,其損失可能會更大,因此,必須保護好自己電腦裡面的數據。
二、不瀏覽非法網站一些非法網站能夠攻擊自己的電腦,盜取電腦里的個人信息,造成數據丟失。
5. 如何有效地保護常規伺服器免受攻擊
1、監控您的獨立伺服器流量
為了了解您的獨立伺服器是否受到攻擊,您需要熟悉典型的流量模式。網路流量的高峰可以成為正常業務過程的一部分。廣告、促銷和活動都可以增加您網站的訪問量。一旦發現您的香港伺服器持續出現過高異常流量,那麼你很可能正遭受DDoS攻擊。DDoS攻擊者通常會在其主要進攻之前進行小規模入侵。
無論他們的動機如何,攻擊者(通常包括您的商業競爭對手)通常都會瞄準可以造成最大傷害的時間。例如您產生大量流量的日子,如雙 11或大肆促銷時,是黑客攻擊的理想時間。深入了解您的正常流量可以幫助您識別正常發生的任何異常峰值,並提醒您的技術團隊注意潛在的攻擊。
2、配置更高網路資源
選擇獨立伺服器時,瞄準那些給予帶寬更高的機型。為您的獨立伺服器提供充足的網路容量,是您的網站准備應對潛在DDoS攻擊的另一個重要組成部分。配置更高帶寬可以在發生攻擊時為您的站點提供一個小而有用的緩沖區。通過確保過多的網路容量來適應大的流量激增,可以獲得珍貴的分鍾數。我們建議您的網路能夠容納正常流量的2-6倍。
但是,無論您為網路配置得多好,如果您的獨立伺服器租用服務商沒有容量,DDoS攻擊仍然會對您的產品或服務產生重大影響。因此選擇獨立伺服器租用時,請確保您的服務商擁有處理大規模DDoS攻擊所需的資源,例如億恩科技高防線路,這將確保在發生大規模攻擊時不會浪費您的預防措施。
3、保持警惕
短期的成功往往會滋生自滿情緒,導致公司失去安全措施。這使他們極易受到攻擊。檢查最強大的網路組件是否存在缺陷是至關重要的。在您最成功的領域中進行失敗分析似乎違反直覺,但這對於加強您的網路並為攻擊的可能性做准備至關重要。
4、利用高防伺服器
在高防伺服器上託管您的產品或服務是保護您的產品免受DDoS攻擊的關鍵因素。高防伺服器接入高防線路,可防禦高達 300Gbps 以上規模的DDoS攻擊及其他流量攻擊,且支持壓力測試,承諾防禦無效按天退款,更有資深專家全程協助防護,可保障你的網站即使面臨特大攻擊也能穩定運行。
5、安裝更新,因為它們可用
保持應用程序更新是網路安全的重要組成部分,往往被忽視。DDoS 攻擊通常針對最近發現的安全漏洞。在WordPress等開源平台上安裝更新後,會立即為您提供最新、最安全的版本。雖然經常忽略更新,但選擇最新版本可以修補和消除以前暴露的任何安全漏洞。設置更新以自動安裝將確保您始終配備最安全的應用程序。
6. 如何維護伺服器
1 從基本做起
從基本做起是最保險的方式。你必須將伺服器上含有機密數據的區域通通轉換成NTFS格式;同理,防毒程序也必須按時更新。建議同時在伺服器和桌面電腦上安裝防毒軟體。伺服器安全維護中這些軟體還應該設定成每天自動下載最新的病毒定義文件。伺服器安全維護中另外,Exchange Server(郵件伺服器)也應該安裝防毒軟體,伺服器安全維護中這類軟體可掃描所有寄進來的電子郵件,尋找被病毒感染的附件,若發現病毒,郵件馬上會被隔離,減低使用者被感染的機會。
另一個保護網路的好方法是依員工上班時間來限定使用者登錄網路的許可權。例如,上白天班的員工不該有許可權在三更半夜登錄網路。
最後,伺服器安全維護中存取網路上的任何數據皆須通過密碼登錄。伺服器安全維護中強迫大家在設定密碼時,必須混用大小寫字母、數字和特殊字元。在Windows NT Server Resource
Kit里就有這樣的工具軟體。你還應該設定定期更新密碼,且密碼長度不得少於八個字元。若你已經做了這些措施,但還是擔心密碼不安全,你可以試試從網路下載一些黑客工具,然後測試一下這些密碼到底有多安全。
2 保護備份
大多數人都沒有意識到,備份本身就是一個巨大的安全漏洞,怎麼說呢?試想,大多數的備份工作多在晚上10點或11點開始,依數據多寡,備份完成後大概也是夜半時分了。現在,想像一下,現在是凌晨四點,備份工作已經結束。有心人士正好可趁此時偷走備份磁碟,並在自己家中或是你競爭對手辦公室里的伺服器上恢復。不過,你可以阻止這種事情發生。首先,你可利用密碼保護你的磁碟,若你的備份程序支持加密功能,你還可以將數據進行加密。其次,你可以將備份完成的時間定在你早上進辦公室的時間,這樣的話,即使有人半夜想溜進來偷走磁碟的話也無法了,因為磁碟正在使用中;如果竊賊強行把磁碟拿走,他一樣無法讀取那些損毀的數據。
3使用RAS的回撥功能
Windows
NT最酷的功能之一就是支持伺服器遠端存取(RAS),不幸的是,RAS伺服器對黑客來說實在太方便了,他們只需要一個電話號碼、一點耐心,然後就能通過RAS進入主機。不過你可以採取一些方法來保護RAS伺服器的安全。
你所採用的技術主要端賴於遠端存取者的工作方式。如果遠端用戶經常是從家裡或是固定的地方上網,建議你使用回撥功能,它允許遠端用戶登錄後即掛斷,然後RAS伺服器會撥出預設的電話號碼接通用戶,因為此一電話號碼已經預先在程序中了,黑客也就沒有機會指定伺服器回撥的號碼了。
另一個辦法是限定遠端用戶只能存取單一伺服器。你可以將用戶經常使用到的數據復制到RAS伺服器的一個特殊共用點上,再將遠端用戶的登錄限制在一台伺服器上,而非整個網路。如此一來,即使黑客入侵主機,他們也只能在單一機器上作怪,間接達到減少破壞的程度。
最後還有一個技巧就是在RAS伺服器上使用「另類」網路協議。很都以TCP/IP協議當作RAS協議。利用TCP/IP協議本身的性質與接受程度,如此選擇相當合理,但是RAS還支持IPX/SPX和NetBEUI協議,如果你使用NetBEUI當作RAS協議,黑客若一時不察鐵定會被搞得暈頭轉向。
考慮工作站的安全問題
在伺服器安全的文章里提及工作站安全感覺似乎不太搭邊,但是,工作站正是進入伺服器的大門,加強工作站的安全能夠提高整體網路的安全性。對於初學者,建議在所有工作站上使用Windows
2000。Windows 2000是一個非常安全的操作系統,如果你沒有Windows 2000,那至少使用Windows
NT。如此你便能將工作站鎖定,若沒有許可權,一般人將很難取得網路配置信息。
另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當作簡易型的終端機(mb terminal)或者說,智慧型的簡易終端機。換言之,工作站上不會存有任何數據或軟體,當你將電腦當作mb terminal使用時,伺服器必須執行Windows NT 終端服務程序,而且所有應用程序都只在伺服器上運作,工作站只能被動接收並顯示數據而已。這意味著工作站上只有安裝最少的Windows版本,和一份微軟Terminal Server Client。這種方法應該是最安全的網路設計方案。
執行最新修補程序
微軟內部有一組人力專門檢查並修補安全漏洞,這些修補程序(補丁)有時會被收集成service
pack(服務包)發布。服務包通常有兩種不同版本:一個任何人都可以使用的40位的版本,另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密演算法,比40位的版本要安全得多。
一個服務包有時得等上好幾個月才發行一次,但要是有嚴重點的漏洞被發現,你當然希望立即進行修補,不想苦等姍姍來遲的服務包。好在你並不需要等待,微軟會定期將重要的修補程序發布在它的FTP站上,這些最新修補程序都尚未收錄到最新一版的服務包里,我建議你經常去看看最新修補程序,記住,修補程序一定要按時間順序來使用,若使用錯亂的話,可能導致一些文件的版本錯誤,也可能造成Windows當機。
頒布嚴格的安全政策
另一個提高安全性的方式就是制定一強有力的安全策略,確保每一個人都了解,並強制執行。若你使用Windows 2000
Server,你可以將部分許可權授權給特定代理人,而無須將全部的網管權利交出。即使你核定代理人某些許可權,你依然可縣制其許可權大小,例如無法開設新的使用者帳號,或改變許可權等。
防火牆,檢查,再檢查
最後一個技巧是仔細檢查防火牆的設置。防火牆是網路規劃中很重要的一部份,因為它能使公司電腦不受外界惡意破壞。
首先,不要公布非必要的IP地址。你至少要有一個對外的IP地址,所有的網路通訊都必須經由此地址。如果你還有DNS注冊的Web伺服器或是電子郵件伺服器,這些IP地址也要穿過防火牆對外公布。但是,工作站和其他伺服器的IP地址則必須隱藏。
你還可以查看所有的通訊埠,確定不常用的已經全數關閉。例如,TCP/IP port 80是用於HTTP流量,因此不能堵掉這個埠,也許port
81應該永遠都用不著吧,所以就應該關掉。你可以在網路上查到每個埠的詳細用途。
伺服器安全問題是個大議題,你總不希望重要數據遭病毒/黑客損毀,或被人偷走做為不利你的用途,本文介紹了7個重要的安全檢查關卡,你不妨試試看。