僵尸主机ddos攻击 保护Linux服务器的常用方法(2)

就我个人而言，我建议将 Namecheap作为注册服务商，并将Cloudflare用于高性能 DNS。

物理访问

如果我是的执法人员，数据中心工作人员或你的托管服务提供商，我是否可以自由的的读取你服务器的内容（全盘加密除外）？当你的磁盘退役或更换时，其中的内容是否会被擦除？如果有人将USB插入1U机架伺服器，你是否会收到警报提醒？

查看： LUKS/cryptsetup

你有确定性的构建吗？

当开发人员将构建代码推送到生产环境中时，你是否可以验证这些代码的真实意图，并且保证源码或静态链接的依赖关系未被恶意修改？

查看： Gitian

验证数字签名

毫无疑问，你可能会从一些非官方站点获取或下载一些代码和软件。那么在团队成员继续构建或安装之前，你是否比较过校验和/哈希或验证了该下载的签名？

查看： 使用GnuPG制作和验证签名

沙盒环境

它是否具有AppArmor配置文件，seccomp过滤器或RBAC策略，指定它在系统调用和访问权限方面的功能？

查看： seccomp, AppArmor

TLS和加密配置

你是否已经完全弃用那些不安全的加密套件和算法（例如MD5，SHA1，R）？并在兼容性和用户期望上选择最佳的加密方式，HMAC和密钥交换算法。如果可用，优先考虑使用RSA加密算法。这适用于OpenSSH，GnuPG，OpenVPN等。使用 Let’s Encrypt.t即可轻松获得ssl的免费证书。

查看： 应用密码加固，SSL和TLS，服务器端TLS

公密钥管理

如果你的每个员工都拥有自己的密钥，请考虑在整个域中对其进行同步，并将密钥移出版本控制。

查看： GPGSync, sops, Vault

HTTP头安全

关于HTTP头安全，这里有一个列表可供大家参考：X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, X-Download-Options, X-Permitted-Cross-Domain-Policies, Content-Security-Policy, Referrer-Policy, Strict-Transport-Security, Public-Key-Pins。这些响应头的正确配置，对安全也至关重要。

查看： securityheaders.io, Mozilla web安全指南

文件完整性监控

你是否对重要文件做定期检查，已确保文件未被修改并生成被更改的警报？

查看： Tripwire, OSSEC

入侵检测

或许你已经部署了多种类型的入侵检测工具，但你是否仅仅只是按照默认的规则配置来运行它，并没有花费时间来学习相关的技术知识，以及根据自身应用情况来配置合适的规则集？

查看： 比较基于主机的入侵检测系统， Snort

漏洞管理

通过订阅邮件，我们可以获取新的漏洞报告并修复漏洞。那么，你还记得你最后一次检查CVE活动是什么时候吗？

查看： Nessus, CoreOS clair

基础系统的安全

你是否真的完全信任Debian/Ubuntu，RHEL或任何公司的第三方软件存储库，可以始终为你提供非恶意的软件包？这里有一个想法：你可以托管自己的存储库，固定到特定的版本，并且仅在测试后才升级。

或者，你也可以运行基于 Alpine或 LinuxKit的极小操作系统，这样可以最大程度上的减少你的攻击面。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-83684-2.html