设置服务器或基础设施安全时最常见的错误

某些地方可能存在一些琐碎问题，但根据我们的经验，在 100 件显而易见的事情中，有 20% 总是被遗忘或没有得到充分处理。这就是大大小小的问题产生的根源。所以让我们避免这些问题，确保我们的基础设施安全！

在本文中，我们将从我们自己的经验和一些公众所知的案例来分析这两种情况。相信我，我们在市场上的 10 年里已经见识过足够多的案例了——从使用 123qwe 等密码被黑客入侵的服务器，到同一台服务器上的服务器备份，再到 GitHub 上免费提供的 ssh 密钥。

我们并不自称是“安全专家”，但我们想与您分享我们的社区所遇到的情况，以便您可以仔细检查自己。

1.不仅在生产环境中使用复杂密码🙂，还要确保与服务器的连接安全

当然，你会记得在生产环境中正确执行所有操作，但对于仅用于内部需求的服务器呢？你认为这微不足道吗？是的！这就是为什么很多人经常“忘记”它。拥有强密码并不能 100% 保证你不会被黑客入侵，但如果你还考虑阻止通过 IP 进行的访问，即使密码被破解，也无法进入你的基础设施。

案例研究： 当客户定期抱怨服务器上出现一些本不应该出现的新文件时，我们为客户提供了此解决方案。 我们不知道客户如何以及在何处存储访问密码，但在通过 IP 限制访问后，“神秘”文件便不再出现。

建议：

✔在所有基础设施上使用包含字母、数字和特殊字符的复杂密码。即使该服务器每年只使用一次，而且那里“没有什么重要的东西”

✔始终更改主机提供商自动生成的密码。

✔使用虚拟专用网络管理服务器并限制除您之外的所有 IP 的访问。

✔隐藏服务器的真实 IP 地址 – 这可以大大减少潜在的损害规模。

✔定期更新密码并避免重复使用。

2.未能及时更新软件

过时的软件、操作系统或 CMS（例如 WordPress、Joomla）通常包含攻击者可以利用的漏洞。

例如： 2017 年，勒索病毒“WannaCry”袭击了世界，该病毒利用了 Windows 旧版本中的漏洞。 许多未安装操作系统更新的公司成为此次攻击的受害者。 该病毒加密了数千台计算机上的数据，要求支付赎金才能解密。

建议：

✔安装所有基础设施组件的更新和补丁。

✔为关键系统设置自动更新。

✔CVE。监控您使用的软件中新出现的和之前发现的漏洞。

✔定期扫描您的软件以查找漏洞。

3. 制定并遵守公司的网络安全政策

情况各不相同。在发生事故时，要准备好脚本。谁负责、何时负责、负责什么。首先要采取什么行动，这些人还应该有具有适当安全级别权限的后援。有人可能在度假、不在服务中等。最好有这些但不需要，而不是相反。

案例研究：这里我们可以回顾一下 Kyivstar 的情况。网络防御有一个黄金三角，包括技术、流程和人员。如果人员没有经过培训，如果不考虑人为因素，任何公司都可能遭到黑客攻击。

建议：

✔制定网络安全政策和针对各种事件的具体行动。

✔关注团队的网络卫生，提高技术专家的技能。

✔限制对未使用的端口的访问。

✔配置防火墙规则以仅允许必要的流量。

4.缺乏备份

即使安全性最高，也始终存在因攻击、硬件故障或管理员错误而导致数据丢失的风险。缺乏备份可能会带来灾难性的后果。

案例研究： 这正是我们一位客户所发生的事情（实际上，他是在这次事件之后成为客户的）因此，2021 年，OVH 位于斯特拉德堡的数据中心被烧毁。 最有趣的是，客户仍然考虑备份，尽管他将备份保存在同一数据中心的同一台服务器上。

不幸的是，数据无法恢复，但我们将客户的整个基础设施分散到不同的地理位置和不同的服务器上，以执行专门的任务。 我们设置了 RAID 并与其他服务器同步。 现在，即使发生火灾，一切都会好起来。

建议：

✔设置定期数据备份。

✔将备份存储在单独的服务器或云存储中。

✔检查备份的完整性并执行测试恢复。

✔检查备份自动化是否按您想要的频率运行

5. 忽视数据加密

传输敏感数据（例如密码、支付信息）如果不加密的话，很容易成为攻击者的攻击目标。

例如： 2018 年，英国航空公司因 50 万客户数据泄露而被罚款 1.83 亿英镑。 攻击者能够拦截机密信息（信用卡号、姓名、地址），因为数据是在公司网站上传输的，没有进行适当的加密。

建议：

✔使用 HTTPS 协议保护传输中的数据。

✔加密服务器上的备份、重要文件和数据库。

✔对网站使用 SSL/TLS 证书。

6. 访问权限配置不当

授予用户或服务过多的访问权限可能会导致对关键资源的未经授权的访问。

案例分析： 一位客户联系我们，称服务器负载突然增加。 检测到恶意软件（加密货币挖矿程序和远程控制程序），并添加了未知人员的 SSH 密钥。 恶意软件被删除后，攻击者通过 Bash 配置文件中的恶意代码和易受攻击的网站模块重新获得访问权限。 修复这些漏洞后，攻击者的访问被完全阻止。

建议：

✔遵循最小权限原则（仅授予必要的权利）。

✔不要将所有访问权限或密钥集中在个别员工的账户上。

✔定期检查并更新访问权限。

✔对不同的服务使用不同的帐户。

7.缺乏监控和记录

如果没有适当的监控和日志记录，您可能不会注意到可疑活动或对您服务器的攻击。

案例研究： 一位现有客户向我们提出了这一非典型请求。 他对部分团队成员的诚实度心存疑虑，因此要求我们开发一种解决方案，帮助检测任何非典型行为。 监控配置在各个 RDP 上，当登录工作服务器时，会立即触发机器人通知客户。 此外，还设置了禁止安装任何软件的禁令。

监控有助于发现一名员工在下班后不断登录服务器。

建议：

✔建立监控系统来跟踪服务器的状态。

✔保留事件日志并定期分析异常情况。

✔使用自动威胁检测工具（例如，SIEM 系统）。

8. 全天候支持

是的，很难将其归咎于错误，这更像是一种建议。但是，及时响应与所有先前的措施一样重要。因此，如果已经发生了某些事情，那么如果您的数据中心或网络托管服务提供商的支持能够及时响应，那就太好了。不幸的是，像 Hetzner、OVH 或 AWS 这样的巨头根本无法在 5 分钟内给您答复。如果您的管理员处于“离线”状态，您无法访问服务器，那么欢迎加入俱乐部“您的请求将由负责的员工在其工作时间内保管”

案例研究： 这正是我们为客户提供的服务。24 /7/365 – 快速、高质量的支持。 无论白天还是晚上，节假日还是周末，都无所谓。 我们的客户可以通过网站上的实时聊天联系我们，并在不到一分钟的时间内得到回复（！）。 当然，这一切都取决于具体情况，解决方案本身可能需要更长时间，但如果您被黑客入侵而您自己无法做任何事情，您的服务器将在 2 分钟内关闭，至少没有人会从中获取重要信息。

建议：

✔建立监控系统来跟踪服务器的状态。

✔保留事件日志并定期分析异常情况。

✔根据您的需求选择托管。并非每个人都需要市场巨头。特别是如果您的基础设施较小。

结论。

安全不是一次性任务，而是一个持续的过程。不要吝啬，因为可能造成的后果代价可能更高。如果您对自己的能力有疑问，请联系专业人士或使用提供内置安全和支持的可靠托管服务提供商的服务。