服務器安全描述了用于保護企業服務器免受未經授權的訪問和其他網絡威脅的軟件、工具和流程。這是大多數系統管理員和網絡安全團隊的關鍵要求。 基于操作系統強大的默認權限結構，Linux 的安全性被認為是好的。但是，您仍然必須采用最佳實踐來保持服務器安全有效地運行。無論您的 Linux 服務器運行的是 Ubuntu、Debian 還是其他發行版，請按照以下步驟來加強您的 Linux 服務器的默認配置。

1.只安裝需要的包

您應該只安裝您的業務需要運行的軟件包，以保護您的服務器的功能。Linux 服務器發行版已經安裝了各種常用的軟件包，例如 adduser 和 base-passwd。在安裝過程中，用戶可以選擇安裝其他軟件包，包括 Open SSH 服務器、DNS 服務器、LAMP 堆棧和打印服務器。

您還可以通過默認的包管理系統添加更多包。軟件包可以從官方存儲庫中提取，也可以通過添加 PPA（個人軟件包檔案）（由 Linux 用戶創建的存儲庫）來訪問更廣泛的程序選擇。

但是，您安裝的軟件包越多，尤其是來自第三方存儲庫的軟件包，您可能會在系統中引入更多漏洞。將已安裝的軟件包保持在合理的最低限度，并定期消除不需要的軟件包。

2.禁用root登錄

Linux 發行版包括一個名為“root”的超級用戶，其中包含提升的管理權限。啟用 root 登錄可能會帶來安全風險并降低托管在服務器上的小型企業云資源的安全性，因為黑客可以利用此憑據訪問服務器。為了加強您的服務器安全，您必須禁用此登錄。

禁用 root 帳戶的過程取決于您使用的 Linux 發行版 - 您必須首先創建一個新用戶帳戶并分配提升的 (sudo) 權限，這樣您仍然可以安裝軟件包和執行其他管理操作在服務器上?；蛘?，您可以將這些權限分配給現有用戶，以確保安全的服務器登錄。

3.配置2FA

雙因素身份驗證(2FA) 在用戶登錄服務器之前需要密碼和第二個令牌，從而極大地提高了用戶訪問的安全性。

要在 Debian 服務器和 Debian 派生發行版上設置 2FA，您應該安裝 libpam-google-authenticator 軟件包。該軟件包可以顯示二維碼或生成可添加到軟件身份驗證設備（例如 Google Authenticator 或 Authy）的秘密令牌。

2FA 可以與 SSH（安全外殼）結合使用，以在登錄服務器時強制要求第二個憑據。SSH 是一種創建與遠程服務器的基于文本的加密連接的協議。總之，這些使服務器更能抵抗暴力破解和未經授權的登錄嘗試，并可以提高小型企業的云安全性。

4. 執行良好的密碼衛生

良好的密碼衛生不僅與登錄其個人計算機或 SaaS 應用程序的用戶有關。對于服務器，管理員還需要確保用戶使用足夠嚴格的密碼。這種做法使他們更能抵抗攻擊。

強制執行最小加密強度

您的員工使用的密碼應高于一定的加密強度，例如，至少 12 個字符，字母、數字和符號的隨機組合。要在您的企業中強制執行此操作，請考慮實施一種密碼管理工具，該工具可以驗證密碼的安全級別或生成足夠復雜的密碼。

強制執行定期密碼輪換

確保您的員工定期更新所有應用程序和登錄密碼，尤其是那些具有管理服務器訪問權限的密碼。默認情況下，大多數 Linux 發行版都包含一個用于修改密碼到期和老化信息的實用程序。該程序可以強制用戶定期重置密碼。Chage 就是這樣一種 CLI（命令行界面）。

管理員可以強制用戶在一定天數后更改密碼，例如，使用 -W 運算符：

改變 -W 10 丹尼爾

從提升的權限運行，此命令將強制用戶 'daniel' 在 10 天后更改其密碼。強制密碼更改也可以在洗澡或登錄事件時強制執行。

5.服務器端殺毒軟件

雖然 Linux 計算機被認為對病毒、惡意軟件和其他形式的網絡攻擊具有相對抵抗力，但所有 Linux 端點（包括臺式機）都應該運行防病毒保護。防病毒產品將增強其運行的任何服務器的防御能力。Avast Business的下一代 Linux 服務器防病毒軟件支持 32 位和 64 位硬件，并具有通過 CLI 啟動的按需掃描功能。

6.定期或自動更新

你不應該持有舊的、未打補丁的軟件包，因為它們會給系統帶來可能被網絡犯罪分子利用的嚴重漏洞。為避免此問題，請確保您的服務器或服務器池定期更新。

許多 Linux 發行版，尤其是 Ubuntu，也在滾動發行周期中更新，包括長期 (LTS) 和短期發行版本。您的安全團隊應該從一開始就考慮他們是否希望在他們的機器上運行最先進或穩定的軟件，并配置適當的更新策略。

此外，許多 Linux 發行版包含用于應用自動更新的工具。例如，可用于 Debian 的 unattended-upgrades 軟件包將以固定的時間間隔輪詢更新并在后臺自動應用它們。

7.啟用防火墻

每臺 Linux 服務器都應該運行防火墻作為抵御未經授權或惡意連接請求的初始防線。UFW（簡單防火墻）是一種常見的基本 Linux 防火墻。您應該檢查防火墻策略以確保它對您的業務操作環境有意義。

如今，分布式拒絕服務(DDoS) 攻擊也對一些運營商構成威脅。面向 Internet 的 Linux 服務器可以放置在代理服務之后，以檢查和清理入站流量，從而提供 DDoS 保護。此外，還有一些可以直接安裝到服務器上的開源腳本。

8. 備份你的服務器

當涉及到計算機系統時，總會有一些事情可能出錯，并且包可能會產生依賴性問題和其他問題。因此，保留將更改回滾到服務器的能力至關重要。

一個強大的備份方法應該包括為每個主要受保護設備創建兩個副本，一個異地副本。更簡單的系統回滾工具可用于 Linux 服務器，可以幫助自動化此過程并允許更快的災難恢復 (DR)。

牢記安全

Linux 可能是您的小型企業或企業的最佳服務器，因為發行版通常具有自動配置的良好安全狀態。但是，為了顯著提高防御能力并最大限度地減少惡意用戶獲得訪問權限的機會，您必須通過應用最佳實踐技巧來強化 Linux 服務器。使用服務器端防病毒工具（例如 Avast Business Linux Antivirus）應該始終是多層安全策略的一部分。