强化计算机系统意味着使恶意黑客更加难以攻击。严格来说,系统强化意味着减少攻击面–攻击面是攻击者可能打击的所有点的组合。

默认情况下,许多计算机系统的攻击面非常大。这是因为安装的许多软件具有过多的权限和尽可能多的功能。因此,系统强化基本上就是精简选项。

在本简短的强化指南中,我们将介绍5个强化过程步骤,您可以作为托管Web应用程序的服务器管理员来执行这些步骤。

步骤1.操作系统加固

系统强化的基本级别是在照顾操作系统的安全性。强化的操作系统使您避免了很多 安全威胁.

要强化服务器的操作系统:

  • 卸载所有不必要的软件。每个程序可能都有一个潜在的漏洞,可能使攻击者能够 升级攻击。例如,这甚至包括不必要的编译器/解释器,因为它们可能使攻击者能够创建 反壳.
  • 删除所有不必要的用户帐户,并确保用于运行服务的用户帐户没有过多的特权。例如,如果使用用户帐户运行Web服务器,则它可能根本不需要外壳程序访问,并且应具有最小权限。
  • 为避免未经授权的访问,要求 强密码 作为访问控制的一部分(但不需要定期更改密码-发现这种做法不太安全)或使用基于密钥的身份验证。
  • 如果您负担得起资源,请打开详细的日志记录。您的日志中包含的详细信息越多,越容易 攻击后分析日志.
  • 启用自动操作系统修补程序或启用修补程序通知。安全补丁至关重要,自动安装补丁程序更加安全。

请注意,以上一般提示适用于所有操作系统:Linux / UNIX,Microsoft Windows,macOS以及任何其他操作系统。但是,特定情况可能适用于特定系统。例如,在Windows上,您可能还希望专注于组策略。

步骤2.网络强化

网络强化的范围不限于服务器,通常还包括其他网络设备。但是,在您管理的服务器级别上,您可以做很多事情来提高网络安全性。

要加强服务器上的网络连接:

  • 如果此服务器上未使用所有不必要的服务,请关闭并卸载所有不必要的服务。例如,FTP,Telnet,POP / SMTP等。这将使您消除所有不必要的开放网络端口。
  • 强制执行严格的防火墙规则。如果这是专用的Web服务器,请确保仅允许的传入连接是Web连接和潜在的管理连接(例如SSH)。
  • 如果您负担得起资源,请监视传出连接中是否存在潜在的 反壳.

加固操作系统时,已经进行了很多网络加固。但是,如果您不是唯一有权访问服务器的人,那么最好防止他人打开不安全的网络连接。

步骤3. Web服务器强化

由于我们假设服务器的主要功能是托管Web应用程序,因此您必须专注于强化Web服务器软件。

要加强您的Web服务器:

  • 删除所有不必要的Web服务器模块。默认情况下,许多Web服务器都带有几个引入安全风险的模块。
  • 修改默认配置设置。例如,许多Web服务器的默认设置都支持旧的SSL / TLS协议。这意味着您的服务器容易受到诸如  or 泡菜.
  • 为Web应用程序打开附加保护。例如,引入内容安全策略(CSP)。
  • 安装并运行Web应用程序防火墙(WAF)。大多数Web服务器都支持开源ModSecurity防火墙。
  • 如果可能,将补丁服务器软件自动更新到最新版本,或者打开通知以进行手动补丁。

我们还提供了用于加固最受欢迎的Web服务器的详细指南:

步骤4. Web应用程序强化

如果您已经知道一些 一般的网络安全,您知道大多数Web漏洞是Web应用程序而不是底层软件(例如Web服务器或操作系统)中错误的结果。因此,这是最重要的步骤。

强化您的Web应用程序:

  • 定期使用 网络漏洞扫描器。尽早消除所有漏洞。最好的方法是在开发阶段扫描应用程序,例如, 使用詹金斯.
  • 执行进一步的渗透测试。漏洞扫描程序可以找到大多数安全漏洞,而渗透测试人员将能够找到无法自动检测到的漏洞。 渗透测试和漏洞扫描 应被视为补充活动,而不是替代活动。
  • 如果存在无法立即消除的漏洞,请向Web应用程序防火墙中添加临时规则。

虽然这不是加强自身的一部分, 安全编码 对于Web应用程序安全性非常重要。因此,如果您的组织推广它,那么您将有更少的漏洞需要担心。

步骤5.连续硬化

关于硬化最重要的事情是,这是一个永无止境的过程。您应该执行常规的系统强化检查,以确保您的安全配置是最新的,所有安全措施仍在适当的位置,并且不会对您的信息安全造成新的威胁。此类新威胁可能来自服务器的其他用户,Web应用程序的开发人员,也可能仅是由于现有软件中存在的漏洞引起的。

幸运的是,部分过程可以自动化。例如,您可以使用补丁程序管理软件来确保您的密钥软件始终是最新的。您也可以跑步 计划扫描 使用网络漏洞扫描程序来确保新的和更新的Web应用程序不会带来网络安全威胁。

最好的方法是维护一个加固清单,该清单最初是在您的第一个加固练习中创建的,然后在发现使系统不太容易受到攻击的新方法时进行修改。

Source : //www.acunetix.com/blog/web-security-zone/web-system-hardening-5-easy-steps/