为了硬化计算机系统意味着使恶意黑客攻击更加困难。在正式的条件下,系统硬化意味着减少攻击表面 - 攻击表面是攻击者可能袭击的所有点的组合。

默认情况下,许多计算机系统具有非常大的攻击表面。这是因为许多软件都安装了太多权限,并且尽可能多的功能。因此,系统硬化基本上是关于撇去选项的全部。

在此短的硬化指南中,我们将查看5个硬化处理步骤,您可以作为服务器的管理员,托管Web应用程序。

步骤1.操作系统硬化

系统硬化的基础水平正在处理操作系统安全性。一个硬化的操作系统让你避免很多 安全威胁.

要硬化服务器的操作系统:

  • 卸载所有不必要的软件。每个程序可能具有可能允许攻击者的潜在漏洞 升级袭击事件。这包括例如甚至不必要的编译器/解释器,因为它们可以使攻击者创建 逆壳.
  • 删除所有不必要的用户帐户,并确保用于运行服务的用户帐户没有过多的权限。例如,如果您使用用户帐户运行Web服务器,则可能根本不需要shell访问,它应该具有最小的权限。
  • 为避免未经授权的访问,请求 强密码 作为访问控制的一部分(但不需要常规密码更改 - 发现此类实践不太安全)或使用基于键的身份验证。
  • 如果您能负担资源,请打开详细的日志记录。您在日志中有更多详细信息,它更容易 攻击后分析日志.
  • 启用自动操作系统修补或启用修补程序通知。安全补丁具有重要意义,并自动安装它们更安全。

请注意,上述一般提示适用于所有操作系统:Linux / UNIX,Microsoft Windows,MacOS和任何其他操作。但是,具体情况可能适用于特定系统。例如,在Windows上,您可以另外想要专注于组策略。

步骤2.网络硬化

网络硬化超出服务器的跨度,并且通常包括其他网络设备。但是,在您管理的服务器的级别上,您已经可以做到很多,以提高网络安全性。

要解决服务器上的网络连接:

  • 如果在此服务器上未使用,请关闭并卸载所有不必要的服务。例如,FTP,Telnet,Pop / SMTP等等。这将让您消除所有不必要的开放网络端口。
  • 强制防火墙规则。如果这是一个专用的Web服务器,请确保允许的唯一收入连接是Web连接和潜在的管理连接(例如SSH)。
  • 如果您能负担资源,请监视潜在的传出连接  逆壳.

当你硬化操作系统时已经完成了很多网络硬化。但是,如果您不是唯一可以访问服务器的人,则对别人打开不安全的网络连接的保障保障是一个好主意。

步骤3. Web服务器硬化

由于我们假设服务器的主要功能是托管Web应用程序,因此必须专注于硬化Web服务器软件。

要淬火您的Web服务器:

  • 删除所有不必要的Web服务器模块。默认情况下,很多Web服务器都带有多个模块,介绍安全风险。
  • 修改默认配置设置。例如,许多Web服务器在其默认设置中支持旧的SSL / TLS协议。这意味着您的服务器容易受到攻击的攻击  or 贵宾犬.
  • 打开对Web应用程序的额外保护。例如,介绍内容安全策略(CSP)。
  • 安装并运行Web应用程序防火墙(WAF)。大多数Web服务器都支持开源Modsecurity防火墙。
  • 如果可能,请将修补服务器软件自动或打开手动修补的通知或打开最新版本。

我们还为硬化最流行的Web服务器提供了详细指南:

步骤4. Web应用程序硬化

如果你已经了解了一些关于 Web安全通常,您知道大多数Web漏洞都是Web应用程序中错误的结果,而不是基础软件(例如Web服务器或操作系统)。因此,这是最重要的一步。

要解决您的Web应用程序:

  • 使用a定期扫描所有Web应用程序 Web漏洞扫描仪。尽早消除所有漏洞。这样做的最佳方法是在开发阶段扫描应用程序,例如, 使用Jenkins..
  • 执行进一步的渗透测试。虽然漏洞扫描仪将找到大多数安全漏洞,渗透测试仪将能够找到自动无法检测到的。 渗透测试和漏洞扫描 应该被视为互补活动,而不是替代品。
  • 如果存在您无法立即消除的漏洞,则将临时规则添加到Web应用程序防火墙。

虽然它不是硬化本身的一部分, 安全编码 对Web应用程序安全性非常重要。因此,如果您的组织宣传,您将有较少的漏洞才能担心。

步骤5.连续硬化

实现硬化最重要的是,它是永无止境的过程。您应该执行常规系统硬化检查,以确保您的安全配置是最新的,所有安全措施仍然存在,并且对您的信息安全性没有新的威胁。这种新威胁可能来自服务器的其他用户,Web应用程序的开发人员,或者只是由于现有软件中找到的漏洞。

幸运的是,部分过程可以自动化。例如,您可以使用补丁管理软件来确保您的密钥软件始终最新。你也可能跑 预定的扫描 使用Web漏洞扫描程序确保新的和更新的Web应用程序不会引入网络安全威胁。

这样做的最佳方法是维护一个硬化清单,您最初使用您的第一个硬化锻炼创建,然后在发现新方法时修改,使您的系统不太容易发生攻击。

Source : //www.acunetix.com/blog/web-security-zone/web-system-hardening-5-easy-steps/