保护 Lightsail 上运行的 Linux 服务器的最佳实践是什么?

上次更新日期:2021 年 10 月 28 日

我是一位运行 Linux 的 Amazon Lightsail 实例的系统管理员。我可以使用哪些服务器安全最佳实践来帮助保护我的数据安全?

解决方法

以下是基本的 Linux 服务器安全最佳实践。尽管这些对于 Linux 服务器安全来说是重要的考虑事项,但请记住,这并非完整列表。本地系统管理员团队必须根据您的特定要求和使用案例配置和处理许多复杂的设置。

  • 加密与 Linux 服务器之间的数据通信。
    使用 SCP、SSH、rsync 或 SFTP 进行文件传输。避免使用 FTP、Telnet 之类的服务,因为它们并不安全。要维持安全 (HTTPS) 连接,请在您的服务器上安装和配置 SSL 证书。
  • 尽量减少使用软件,以最小化 Linux 中的漏洞,并且定期执行安全审计。
    不要安装不必要的软件,避免引入软件或程序包漏洞。如果可以,请标识和移除所有不需要的程序包。
  • 让 Linux 内核和软件保持最新状态。
    应用安全补丁是保持 Linux 服务器安全的重要部分。Linux 提供了让系统保持最新状态的所有必要工具。Linux 还允许在版本之间轻松升级。尽快检查并应用所有安全更新,并确保更新到可用的最新内核。使用基于 Linux 发行版的相应程序包管理程序,例如 yum、apt-get 或 dpkg,以应用所有安全更新。
  • 使用 Linux 安全扩展程序。
    Linux 提供有多种安全功能,您可以使用它们来防止配置错误或程序损坏。如果可能,请使用 SELinux 和其他 Linux 安全扩展程序来强制实施有关网络和其他程序的限制。例如,SELinux 提供有多个适用于 Linux 内核的安全策略
  • 禁用根登录。
    最好不要以根用户的身份登录。必要时,应使用 sudo 运行根级命令。Sudo 可以显著提高系统的安全性,并且无需与其他用户或管理员共享凭证。
  • 使用 SS 或 netstat 查找侦听网络端口并关闭或限制所有其他端口。
    务必注意系统网络接口上正侦听的端口。这可以通过 ssnetstat 实现。任何开放端口都有可能被如入侵。
  • 在 Linux 服务器上配置 Lightsail 防火墙和操作系统级别防火墙,以提高安全级别。
    使用 Lightsail 防火墙过滤流量,并且仅允许必要的流量进入您的服务器。操作系统级别防火墙是一个用户空间应用程序,它使您能够配置 Linux 内核提供的防火墙。您可以使用 iptablesufwfirewalld 等,具体取决于您的 Linux 发行版。
  • 使用 auditd 进行系统核算。
    Linux 提供有 auditd 进行系统核算。Auditd 可向磁盘写入审计记录。它还可以监控各种系统活动,例如系统登录、身份验证、账户修改和 SELinux 拒绝。这些记录可以帮助管理员识别恶意活动或未经授权访问。
  • 安全入侵检测系统 (IDS)。
    将 fail2ban 或 denyhost 用作 IDS。Fail2ban 和 denyhost 可以扫描过多失败尝试的日志文件,并阻止显示恶意活动迹象的 IP 地址。
  • 定期创建备份。
    有关更多信息,请参阅 Amazon Lightsail 中的快照
  • 避免向用户、组以及其他对象提供文件和目录的读取、写入和运行权限 (777)。
    您可以使用 chmod 限制对文件和目录的访问,例如 web-root directory、document-root 等。编辑权限以仅向授权用户提供访问权限。