分类: 知识库

服务器安全(第2部分):使用防火墙保护服务器

欢迎来到我们关于服务器安全性系列文章的第2部分。正如我们上一篇文章中提到的那样,网络连接服务器上的网络攻击处于历史最高点。如果您没有采取措施积极保护您的服务器,那么您的机器将受到威胁。在这个文章中,我们将看看防火墙是什么,以及如何帮助保护您的服务器安全。

什么是防火墙?
防火墙被定义为“基于硬件或基于软件的网络安全系统,其基于一组规则来控制传入和传出的网络流量”。连接到互联网的服务器经常部署防火墙,试图过滤掉黑客,病毒和蠕虫,以防止其组织和组成他们的系统。

为什么要使用防火墙?
防火墙是任何服务器配置的关键组件。没有这种基于网络的过滤,您的服务器正在运行“开门”策略。几乎任何存储在您的机器上的信息都可以被黑客访问,并且在许多情况下,恶意用户可以在您的服务器上安装程序,这可能会让您遇到麻烦。黑客很可能访问您的系统,然后安装一些可以发送垃圾邮件,交易非法文件或在其他服务器上发起攻击的程序。如果发生这些事情之一,您将对此负责,您的服务器和业务可能被列入黑名单或更糟。另一个担心是,其他类型的入侵可能会使恶意第三方访问属于您公司或客户的敏感数据。

他们如何工作?
防火墙基于使用阳性控制模型的过滤器网络流量。这意味着允许通过防火墙的唯一流量是防火墙策略中定义的流量。防火墙阻止或限制对每个端口的访问,除了被定义为可公开访问的端口。这样做可以最大限度地减少您的服务器的可攻击的表面积,从而缩小您的潜在漏洞。

如何设置防火墙?
在专用服务器上,通常默认情况下会安装防火墙,但是不要让这个安全感错误。每个服务器是不同的,让您的主机或安全专家评估您的配置符合您的最佳利益。

观看此视频可以了解涉及的内容以及防火墙的工作原理。

youtube视频地址

防火墙是任何服务器配置的关键元素。即使您的服务本身实现安全功能或限制您希望他们运行的界面,防火墙也可以作为一个额外的防御层。
您可以看到,在Internet连接的服务器上安装防火墙是必须的。通过适当的监控和适当的策略创建,您将能够为您的服务器提供防御黑客和病毒的基本层次。您和您的客户将睡得更好,知道您有防火墙保护您的服务器及其数据。

服务器安全(第1部分):使用SSH密钥保护服务器

网络攻击处于历史最高点,通过使用其中一些安全措施,可以降低外部入侵者进入系统的风险。安全性是维护连接到互联网的服务器的一个经常被忽视的一个方面,但是比以后更早地解决其中一些问题可以帮助您避免灾难。

在这篇文章中,我们将向您介绍SSH密钥。

什么是SSH密钥?
SSH密钥是一种比基于标准密码的身份验证更安全的身份验证方法。它们可以作为使用公钥加密和质询 – 响应身份验证身份验证SSH服务器的方法。一旦实现SSH密钥认证取代传统基于口令的身份验证的需求。许多密码通常可以通过暴力攻击方法破解,但是SSH密钥几乎不可能通过暴力单独渗透。

为什么要使用SSH密钥?
SSH暴力攻击比以往更受欢迎。许多时候,在一个新的服务器上线的几个小时内,黑客正在扫描它寻找漏洞。您的系统的安全性与您最弱的密码一样强大,只要用户使用弱密码,黑客就可以强制强制他们。传统登录和密码认证的更安全的替代方法是SSH密钥。

他们如何工作?
SSH密钥始终成对,一个公共和一个私人。私钥只能由需要登录的人员知道,而公钥可以与任何人共享。私钥和公钥都是在认证之前创建的。

要设置SSH密钥进行身份验证,您必须将公钥放在指定的服务器目录中。该目录通常是〜.ssh /在用户的主目录中。私钥保存在您尝试登录的计算机上。私钥被认为是敏感信息,可以通过只对所有者知道的密码来保护。密钥可以在没有密码的情况下创建,但这样做会使您的密钥的安全性受到威胁。

当您登录计算机时,SSH服务器利用公钥加密只能通过私钥加密的消息。这样就可以将数据传输到您正在登录的计算机,从而使窃听者无法在您的连接上“收听”。

一旦安装了SSH密钥方法,您可以禁用基于密码的远程验证,以显着降低外部入侵者访问系统的机会。SSH密钥包含更多的数据位,因此暴力附加键的时间需要很多年。

如何设置SSH密钥验证方法?
设置SSH密钥系统是相当简单的,通常可以在短短几分钟内完成。您在本地机器上设置了两个键,然后将公钥传输到您的服务器。查看您的个人操作系统对应的以下视频。

youtube视频链接

Windows:

Mac:

Linux:

要了解有关SSH密钥的更多信息,请访问这篇文章https://wiki.archlinux.org/index.php/SSH_keys

如何在CentOS服务器上更改时区?

如何在CentOS服务器上更改时区

首先,我们首先验证服务器上现有的时区。您可以通过在SSH提示符下运行以下命令来执行此操作。在下面显示的示例中,我们看到我们的服务器当前处于UTC时区。

[root @〜] 
#date Mon Dec 12 20:25:47 UTC 2016

在CentOS 5/6中更改TimeZone
在CentOS V5或6上运行的系统上更改时区是非常简单的。我们只需使用正确的时区配置文件链接/ etc / localtime文件。

请注意,所有时区设置文件位于/ usr / share / zoneinfo /目录下。

在下面的示例中,我们将服务器设置为洛杉矶时区(PST)。这被标识为America / Los_Angeles:

[root @〜]#mv / etc / localtime /root/localtime.bak 
[root @〜] #ln -s / usr / share / zoneinfo / America / Los_Angeles / etc / localtime

我们通过再次运行“ date ”命令验证时区是否成功设置:

[root @〜] 
#date Mon Dec 12 12:28:25 PST 2017

在CentOS 7中更改TimeZone
在CentOS版本7上运行的系统上更改时区与版本5或6略有不同。在CentOS 7中,我们使用timedatectl命令更改系统的时区。

要列出时区选项,请使用如下所示的命令:

[root @〜]#timedatectl list-timezones

我们可以使用以下命令将时区更改为所需的区域。在下面的例子中,我们将把时区改为洛杉矶时区(PST)。这被标识为America / Los_Angeles:

[root @〜]#timedatectl set-timezone America / Los_Angeles

我们通过运行“ date ”命令来验证时区是否成功设置:

[root @〜] 
#date Mon Dec 12 12:37:26 PST 2017

如何处理和解决网站入侵Website Hack

在今天的数字世界中,没有一个网站不会受到黑客的威胁。它发生在最好的状态,无论你多长时间保护自己,你根本无法完全消除风险。据统计,仅在2015年,美国国家数据违规影响的个人记录就超过一千七百七十个,企业占百分之四十。2016年没有任何好转,今年我们已经见证了许多有名和严重的破坏性攻击 – 从用于恶意的被盗NSA软件到猖獗的赎金。

虽然对于黑客的巨大问题没有普遍的、有效的解决方案,但是为防范恶意活动而采取的措施可能是包含违规行为和尽量减少负面影响的一个组成部分。这就是为什么我们决定做出一个指导,关于如何准备潜在的攻击,以及你应该怎么做,如果你被一个人打。我们希望你觉得有用。

不要放松警惕

如果你曾经看过一个警察电影,你可能已经看到了一个放映场景。你可能会问:“这与黑客有什么关系”?那么黑客的工作方式也是一样的 – 通常,他们潜伏着等待漏洞的出现,然后利用这些模式,并提出一个把这一切都考虑在内的攻击,并将其变成一个巨大的优势。对于特定网站的个人攻击尤其如此。所以,最重要的是确保您始终保持最新的网站运行方式。这意味着保留所有的安全机制 – 防火墙,rootkit猎人等 – 检查和应用重要的软件更新,这些软件更新易于折中。后者通常是许多企业落后的原因,因为宕机的担忧常常导致损失。请记住。

保持消息灵通

对环境有一个大致的了解是防止黑客攻击的基石。最近,大规模攻击已经流行起来——了解黑客的本质是必须的,并且有必要的信息来正确识别正在进行的恶意活动的类型是关键的。订阅一个可靠的来源-我们的博客充满了最新的网站和服务器,但我们总是建议有几个值得信赖的网站,看看这些信息是否准确和真实的。依靠单一来源永远不是一个好主意。

不要偷懒使用敏感数据
如果你对管理网站的重要方面很吝啬,那么你已经在为灾难做准备了。充分和经常备份你的数据,确保足够的网络安全,如登录到期和频繁的密码更改,并确保访问是加密的,难以像黑客一样,尽可能地使用暴力。这意味着强大的用户名和密码,以及严格控制的东西,如数据库的前缀和登录尝试。

如果你被攻击,不要惊慌

我们不能强调这一点,虽然我们可以看到如何攻击你的网站可能会你无法应付它,你需要尽你所能保持冷静,冷静和收集信息。记住,当你的网站处于混乱状态时,你在恐慌中花费的每一分钟都是黑客破坏你生意的额外时间。保持清醒的头脑可以确保你能伸出援助之手,或者开始努力消除威胁。慌慌张张,最终只会让你付出更多的代价。

从最简单的步骤开始——把你的站点排查,直到问题得到解决。你当然不希望你的访问者在攻击中进入网站。然后,找出问题并采取必要的措施将其清除。联系专业人士,如果它对你来说太严重了。

保持一个整洁的根文件夹

保持网站安全的另一个重要部分是保持根目录的完整性,这一点常常被忽视。未使用的文件必须定期删除,因为它们可以作为黑客随时接管你网站的入口。即使在检查中,文件上传也可能有危险的漏洞,允许对数据进行无限访问。将文件上传到根目录到函数的最小值——理想情况下,您希望通过将它们存储在外部阻止直接访问。虽然有点高级的任务,但是一个好的Web主机提供程序应该能够帮助您解决这个问题。

总体来说给出一些建议,首先是网站根目录的文件夹尽量整洁,不必要的文件不要随便放在根目录,很多黑客会在域名后增加文件地址访问以期望能直接down下整个网站的压缩备份文件。

然后必要的话可以安装一些安全软件,比如常见的安全狗、云锁、悬镜之类。采取URL过滤、post提交过滤、cookie过滤等。

如何在linux中运行speedtest.net测速?

首先需要注意的是,是国外的speedtest.net而不是国内那个山寨的.cn域名,.cn域名的测速网站测速节点速度都跟不上,大点的带宽压根跑不出来。

正文开始

下载:

wget -O speedtest-cli https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest_cli.py
chmod + x speedtest-cli

用法:

$ speedtest-cli -h
用法:speedtest-cli [-h] [--bytes] [--share] [--simple] [--list]
 [--server SERVER] [ - MINI MINI] [ - 来源资料来源]
 [ - 超时TIMEOUT] [--secure] [--version]

使用speedtest.net测试互联网带宽的命令行界面。
-------------------------------------------------- ------------------------
https://github.com/sivel/speedtest-cli

可选参数:
 -h,--help显示此帮助消息并退出
 --bytes以字节为单位显示值,而不是位。不影响
 由--share生成的图像
 --share生成并提供speedtest.net共享的URL
 结果图像
 - 简单抑制详细输出,只显示基本信息
 --list显示speedtest.net服务器的列表
 距离
 --server SERVER指定要测试的服务器ID
 - 速度迷你服务器的MINI MINI网址
 - 源SOURCE要绑定的源IP地址
 --timeout TIMEOUT HTTP超时(以秒为单位)。默认10
 --secure与通信时使用HTTPS而不是HTTP
 speedtest.net运行的服务器
 --version显示版本号并退出

例:

$ ./speedtest-cli
正在检索speedtest.net配置...
正在检索speedtest.net服务器列表...
从Krypt Technologies测试(98.126.x5x.1x2)...
根据延迟选择最佳服务器...
由T-Mobile(Irvine,CA)[14.42公里]:2.612毫秒
测试下载速度........................................
下载:738.69 Mbit / s
测试上传速度............................................... ...
上传:182.61 Mbit / s

如何在Centos中绑定多个IP

在这个例子中,我们将使用这个IP块98.126.9.40/29

导航到网络脚本目录
[root @ AT16-693〜] #cd / etc / sysconfig / network-scripts

通过键入ls找到网络接口文件
在这个例子中,网络接口文件是调用ifcfg-eth0

创建一个/ etc / sysconfig / network-scripts / ifcfg-eth0-range0文件,如果它不存在,或者只要添加到它,如果你已经拥有它,以下

其中:IPADDR_START是第一个IP,IPADDR_END是该范围中的最后一个IP。CLONENUM_START是要分配给第一个IP别名接口的号码
请注意,98.126.9.42不是起始IP,因为该IP绑定到标有ifcfg-eth0的主界面

如果您需要添加更多的IP范围,那么只需使用不同的文件。ifcfg-eth0-range1,用于每个范围。您需要小心,并使用正确的CLONENUM_START不覆盖其他别名。

重新启动网络服务以激活它
# 服务网络重启

使用命令ifconfig来查看所有的IP是否被绑定

 

IPMI是什么?有什么用?

IPMI也叫智能平台管理接口(Intelligent Platform Management Interface)。原本是一种Intel架构的企业系统的周边设备所采用的一种工业标准。IPMI亦是一个开放的免费标准,用户无需支付额外的费用即可使用此标准。IPMI 能够横跨不同的操作系统、固件和硬件平台,可以智能的监视、控制和自动回报大量服务器的运作状况,以降低服务器系统成本。

简单来说IPMI就是一个独立于服务器硬件之外的管理硬件。可以远程进行系统安装,关机、开机、重启服务器等,即使是服务器的系统挂了也不会影响IPMI的工作。现在大部分远程运维都在使用IPMI来操作。

IPMI有一个远程登录的单独IP地址,通过访问这个IP地址来登陆IPMI控制面板进行操作。

IPMI登陆界面如下:

IPMI登录界面

IPMI管理界面如下:

IPMI管理界面

界面是全英文的,语言选项是没有中文的,只有英文和日文。

 

图像优化如何减少页面加载时间

最近的Imperva Incapsula调查显示,消费者期望网站快速渲染,62%的用户只愿意等待五秒钟(或更少)来加载一个页面。只有4%的受访者表示愿意等待20秒以上离开您的网站。

在互联网曙光的时候,一个充满图像的网页可能会花费过多的时间在浏览器中渲染 – 如果它的图像不是以某种方式进行优化,通常是通过压缩。今天,图像压缩只是改进页面加载时间的一部分。

图像优化包括几种其他方法来优化图形以减轻页面,减少加载时间并减少对网络资源的负担 – 包括与移动数据计划相关的数据简化。

搜索引擎可能会评估网页排名时的页面加载时间。更快的加载页面获得更高的位置。反过来,这样优化的页面可以为更广泛的用户群体提供站点可见性,同时在点击页面链接后也增强他们的体验。

优化方法

您的网页布局和结构应该确定优化方法。这些可以包括使用光图像格式,减少图像大小并限制访问者浏览器加载所需的图形数量。

图像压缩 – 通用光栅文件格式为.JPG(.JPEG),.GIF和.PNG,后者是一种无损,非专利的格式,取代了.GIF。矢量文件格式(如.PDF,.SVG和.EPS)不是使用单个像素的集合,而是使用坐标和图形参数来构成比其栅格对应物更小的图像。
将光栅图像转换为矢量格式是减少页面渲染时间同时保持完整图像质量的一种方法。但最好保留给像几何图形这样的图形,不适合照片(后者提供复杂的细节)。

矢量图像 – 矢量图像,如.pdf,.ai,.eps使用坐标和图形参数来构建图像。矢量图像通常小于其光栅对应物。使用矢量图像替换光栅图像可减少页面加载时间,但不会降低图像质量。

这适用于几何形状和图形的图像,但不适合那些比较复杂的图像,例如照片。

图像缓存 – 在代理服务器上存储图像可以快速访问。调用图像缓存,大大提高了页面渲染速度。
代理缓存将映像文件的副本放在区域性存在点(PoP)服务器上。如果它们只驻留在您的原始服务器上,则更容易获得,访问者的浏览器中的图像渲染将再次加速。对于使用几个图像的网站,在给定时间内保持不变,并在页面之间共享(例如,企业品牌,页眉和页脚),代理缓存可能特别有利。

在访问者的浏览器中缓存图像今天也经常使用。它限制重复的HTTP请求,同时还减少显示给定图像所需的下载位数。

图像优化和CDN

自动图像压缩 – 使用内容传送网络(CDN)可让您的网站访问者享受图像优化的优势,而无需任何人员单独操作文件。您可以确定图像质量与页面呈现速度之间的平衡。
渐进渲染 – 高级CDN可以在浏览器中快速呈现每个图像的高像素化版本。在接下来的几个时刻,它被几个变种所替代,每一个都提供了更高的质量。访客的看法是减少了页面时间。

自定义规则和策略 – 功能齐全的CDN可以为为您的站点服务的所有代理服务器建立缓存策略。许多还允许您逐个设置规则,以及某些文件类型和文件组。
Incapsula CDN使用高级代理缓存来保存整个网站内容的副本 – 包括图像。拥有超过30个PoP策略性地位于世界各地,您的网站访问者由最接近他们的数据中心迅速提供内容。我们的自定义策略,快速缓存清除和传递规则可让您确定特定文件的缓存方法。

什么是死亡Ping(Ping of Death)?

什么是死亡Ping攻击?

死亡攻击是一种拒绝服务(DoS)攻击,攻击者的目标是通过发送大于最大允许大小的数据包来破坏目标机器,导致目标机器冻结或崩溃。原来的平安死亡袭击今天不太常见。称为ICMP洪水袭击的相关攻击更为普遍。

死亡Ping如何工作?

互联网控制消息协议(ICMP)回应回复消息或“ping”是用于测试网络连接的网络实用程序,它的工作原理与声纳相似 – “脉冲”被发送出来,并且该脉冲的“回波”告诉操作员有关环境的信息。如果连接正常,源计算机从目标机器接收到一个回复​​。

虽然一些ping数据包很小,但是IP4 ping数据包要大得多,可以和最大允许数据包大小为65,535字节一样大。一些TCP / IP系统从未被设计为处理大于最大数据包的数据包,使得它们容易受到超过该大小的数据包的影响。

当恶意大数据包从攻击者发送到目标时,数据包将分段成分段,每个数据段都低于最大大小限制。当目标机器尝试将这些部分重新放在一起时,总数超过了大小限制,并且可能会发生缓冲区溢出,导致目标机器冻结,崩溃或重启。

虽然ICMP回显可用于此攻击,但是发送IP数据报的任何内容都可用于此漏洞。这包括TCP,UDP和IPX传输。

死亡Ping DDoS攻击如何缓解?

阻止攻击的一个解决方案是对重新组装过程添加检查,以确保在分组重组后不会超过最大数据包大小约束。另一种解决方案是创建一个具有足够空间的内存缓冲区来处理超过最大准则的数据包。

原来的“死亡Ping”攻击大多走过恐龙之路; 1998年以后创建的设备通常受到此类攻击的保护。一些传统设备可能仍然易受攻击。近期发现了针对Microsoft Windows的IPv6数据包的新的Ping死亡攻击,并于2013年中期进行了修补。

什么是Smurf攻击?

Smurf攻击是一种分布式拒绝服务攻击(DDoS)攻击,攻击者尝试使用Internet控制消息协议(ICMP)数据包来淹没目标服务器。通过将目标设备的欺骗IP地址的请求发送到一个或多个计算机网络,计算机网络然后响应于目标服务器,放大初始攻击流量并潜在地压倒目标,使其无法访问。这种攻击向量通常被认为是一个解决的漏洞,不再普及。

Smurf攻击如何工作?

虽然ICMP数据包可以用于DDoS攻击,通常它们在网络管理中提供有价值的功能。使用ICMP数据包的ping应用程序由网络管理员用来测试网络硬件设备,如计算机,打印机或路由器。通常使用ping来查看设备是否可操作,并跟踪消息从源设备往目的地返回到源的时间。不幸的是,由于ICMP协议不包括握手,接收请求的硬件设备无法验证请求是否合法。

这种类型的DDoS攻击可以被认为是一个叫做办公室经理的恶作剧者,并假装成为公司的首席执行官。恶作剧者要求经理告诉每位员工,将他的私人电话号召给执行官,并给他们关于他们的工作情况的最新情况。恶作剧者给出了目标受害者的回调号码,然后接收与办公室中的人一样多的无用电话。

以下是Smurf攻击的工作原理:

首先,Smurf恶意软件构建一个欺骗的数据包,其源地址设置为目标受害者的真实IP地址。
然后,该分组被发送到路由器或防火墙的IP广播地址,路由器或防火墙又向广播网络内的每个主机设备地址发送请求,通过网络上的网络设备的数量增加请求的数量。
网络内的每个设备接收来自广播者的请求,然后使用ICMP回应应答包来响应目标的欺骗地址。
目标受害者然后收到大量的ICMP回应回复数据包,可能会变得不知所措,并导致对合法流量的拒绝服务。
如何减轻Smurf攻击?

多年来,已经开发和实施了这个攻击媒介的几个缓解策略,并且大部分被考虑解决这个攻击。在有限数量的遗留系统上,仍然需要应用缓解技术。一个简单的解决方案是在每个网络路由器和防火墙上禁用IP广播地址。较旧的路由器可能默认启用广播,而较新的路由器可能已经禁用。