Garantir a segurança de servidores locais é uma atividade que não pode ser colocada em segundo plano dentro do seu negócio.
Os servidores desempenham uma função importante no trabalho das organizações. Sua principal função é fornecer tanto dados quanto serviços computacionais.
Pela importância vital que possuem, os servidores armazenam informações sigilosas e dados confidenciais das organizações. A informação é como o ouro no mundo moderno e os hackers são garimpeiros.
Um servidor que não é seguro é suscetível a todos os tipos de ameaças à segurança, bem como à violação de dados.
As deficiências de segurança podem resultar na perda de informações importantes ou na perda de recursos e controle, o que pode comprometer toda a organização.
Se você falhar em proteger seus servidores, você está tomando uma rota de risco.
É possível que você não saiba como proteger seus servidores de forma eficaz. Este artigo fornecerá algumas das técnicas de segurança para servidores que você pode aplicar para proteger seus servidores.
Gerenciamento de usuários do servidor
1. Monitore as falhas de login
A utilização de software de prevenção de intrusão para rastrear as tentativas de login é um método para defender seu servidor dos ataques de força bruta. Esses ataques automatizados empregam a técnica de tentativa e erro, tentando todas as combinações possíveis de números e letras para obter acesso ao seu sistema.
O software de prevenção de intrusões examina cada arquivo de log e determina qualquer tentativa suspeita de login. Quando a quantidade de tentativas de login excede o limite normal, o software de prevenção de intrusões bloqueia seus endereços IP por um tempo especificado ou indefinidamente.
2. Gerenciar usuários
Todo servidor é um usuário root, capaz de executar qualquer comando. Devido ao seu poder, o usuário root pode representar um sério risco para o seu servidor caso ele caia em mãos incorretas. É uma prática comum bloquear completamente o recurso de login root no SSH.
Como o usuário root tem o maior poder, os hackers se esforçam para tentar hackear a senha desse usuário em particular. Se você optar por remover o usuário completamente, isso colocará os hackers em séria desvantagem e protegerá seu servidor de perigos.
Para garantir que ninguém mais possa abusar dos privilégios de root, os usuários podem criar uma conta de usuário. A conta não tem autoridade semelhante para root, mas ainda é competente para lidar com tarefas administrativas usando o comando sudo.
Segurança de senha do servidor
3. Estabeleça os requisitos de senha
Primeiro, você deve estabelecer os requisitos de senhas e as diretrizes a serem seguidas por todos os usuários que estão em seu servidor.
Não permita senhas padrão ou vazias. Defina comprimentos e complexidade mínimos de senha. Configure uma política de bloqueio. Não armazene senhas com reversível criptografado. Certifique-se de que o temporizador da sessão esteja desligado em caso de inatividade. Você também pode ativar a autenticação de dois fatores.
4. Crie políticas de expiração de senhas
Definir uma data de expiração nas senhas é um procedimento padrão quando se trata de estabelecer as regras para os usuários. Com base no nível de segurança necessário, uma senha pode ser válida por algumas semanas ou meses.
5. Use senhas para criar senhas de servidor
Usar uma frase como senha em vez de uma apenas uma palavra como senha é uma boa idéia para melhorar a segurança dos servidores. A principal distinção entre eles é que a frase pode ser mais longa e ter espaços entre as palavras.
Por exemplo, uma senha de senha pode ser: Ilove!ToEatPizzaAt1676MainSt.
A senha fornecida é mais longa do que uma senha típica e também contém letras maiúsculas e minúsculas, números e caracteres exclusivos.
Além disso, é mais simples lembrar uma frase do que uma sequência de letras aleatórias e, por ser composto em 29 caracteres, é mais difícil de quebrar.
6. Senhas – O que não fazer
Se você deseja manter um servidor seguro, há alguns pontos que você precisa evitar em relação às senhas. Em primeiro lugar, pense no local onde você guarda as senhas. Não os coloque no papel ou mantenha-os no escritório.
Geralmente, não é aconselhável utilizar informações pessoais, como sua data de nascimento, nomes de animais de estimação, de localização, cidade natal e outros detalhes que possam conectá-lo à senha. É extremamente fácil adivinhar, principalmente por quem o conhece pessoalmente.
Senhas com apenas termos básicos de dicionário são facilmente quebradas. Esteja ciente da ameaça, você deve ter cuidado para não repetir os mesmos caracteres em uma senha.
Não utilize a mesma senha para várias contas. Se você reutilizar senhas, estará se colocando em perigo. Se os hackers conseguirem acessar uma conta, todas as contas que compartilham a mesma senha podem estar em risco. Use senhas diferentes para cada conta distinta e rastreie-as com um programa de gerenciamento de senhas.
Conectividade segura do servidor
7. Crie e use uma conexão segura
Ao se conectar a um servidor externo, é vital criar um canal de comunicação criptografado.
Fazer uso do protocolo SSH (Secure Shell) é o método mais eficiente para estabelecer uma conexão criptografada. Em contraste com o Telnet usado anteriormente, o acesso SSH protege todos os dados enviados por meio da troca.
Você deve baixar um SSH Daemon e também ser capaz de se conectar a um cliente SSH para enviar servidores de comando e controle para acesso remoto por meio desse protocolo SSH.
Por padrão, o SSH usa a porta 22. Todos, incluindo hackers, estão cientes disso. A maioria das pessoas não configura esse aspecto aparentemente menor. Mas fazer alterações na porta é uma opção simples para diminuir o risco de hackers se infiltrarem no seu servidor. Portanto, o melhor método em SSH é utilizar números de porta entre 1024 e 32.767.
8. Use a autenticação de chaves SSH
Em vez de usar uma senha, você pode se autenticar em um servidor SSH usando o par de chaves SSH, que é uma opção superior às senhas tradicionais. As chaves são possuem mais bits do que senhas e não podem ser facilmente hackeadas pela maioria dos computadores modernos. A conhecida criptografia RSA de 2048 bits é comparável a uma senha de 617 dígitos.
O par de chaves é composto por uma chave pública e uma chave privada.
A chave pública é composta por várias cópias, uma das quais é mantida nos servidores, enquanto outras cópias são compartilhadas com outros usuários. Qualquer pessoa com a chave pública pode proteger os dados, no entanto, apenas a pessoa com a chave privada apropriada tem acesso a essas informações. A chave privada não pode ser compartilhada com ninguém e deve ser protegida. Ao conectar o servidor pedirá evidência de que o usuário possui a chave privada antes de permitir um privilégio de acesso.
9. Protocolo de Transferência Segura de Arquivos
Para transferir arquivos para servidores sem risco de hackers invadirem ou roubarem informações é essencial utilizar o File Transfer Protocol Secure (FTPS). Ele protege os arquivos de dados e suas informações de login.
O FTPS utiliza um canal de comando e um canal de informação, e os usuários podem proteger ambos. Tenha em mente que ele protege os arquivos durante a transferência. Uma vez que estão em seu destino, as informações não são mais criptografadas. É por isso que criptografar os arquivos antes de enviá-los é uma camada adicional de proteção.
10. Certificados SSL Seguros
Proteja suas áreas de administração na web e formulários usando Secure Socket Layer (SSL) que protege os dados que fluem entre dois sistemas pela internet. SSL é usado como comunicação servidor-cliente ou servidor-servidor.
O programa esguicha dados para garantir que dados confidenciais (como números de identificação, nomes, números de cartão de crédito e muitos outros detalhes pessoais) não possam ser roubados durante o transporte. Os sites com certificados SSL incluem HTTPS em sua URL, o que significa que são seguros.
O certificado não apenas codifica dados, ele também serve como autenticação de usuários. Portanto, ao gerenciar os certificados do seu servidor, você ajuda a estabelecer autoridade para o usuário. Os administradores podem configurar servidores para se comunicarem com a autoridade central, bem como quaisquer outros certificados assinados pela autoridade.
11. Utilize VPNs e redes privadas
Outro método para proteger as comunicações é usar VPNs, virtuais e privadas (VPNs) e também softwares como o OpenVPN (consulte nosso guia para configurar e configurar o OpenVPN no CentOS). Ao contrário das redes abertas, que podem ser acessadas por qualquer pessoa no mundo e, portanto, vulneráveis a ataques de usuários mal-intencionados, as VPNs privadas e virtuais limitam o acesso a um seleto grupo de usuários.
As redes privadas utilizam um IP privado para estabelecer um canal de comunicação privado entre servidores na mesma região. A rede privada permite que vários servidores em contas idênticas compartilhem informações e dados sem serem expostos ao público.
Se você deseja se conectar a um servidor externo, como se estivesse se conectando localmente por meio de uma rede criptografada, deve usar a VPN. Ele fornece uma conexão segura e protegida. Ele permite vários servidores remotos. Para que os servidores possam se comunicar através da mesma VPN, eles precisam compartilhar dados de configuração e segurança.
Outras práticas recomendadas para proteger o servidor
12. Atualizações e Upgrades de Software são Necessários Regularmente.
A atualização regular do software em seu servidor é uma etapa essencial para garantir que ele esteja protegido contra hackers. O software desatualizado já foi analisado em busca de pontos fracos, deixando a porta aberta para que hackers façam uso dessas fraquezas e causem danos ao seu sistema. Se você conseguir manter seu software atualizado, certifique-se de que ele esteja atualizado para se proteger na etapa inicial para se proteger.
As atualizações automatizadas são uma maneira de garantir que as atualizações sejam perdidas. Mas deixar o sistema fazer essas modificações por conta própria pode ser perigoso. Antes de fazer qualquer alteração em seu ambiente para produção, é uma boa ideia testar como a atualização funciona no ambiente de teste.
Certifique-se de atualizar o painel de controle do seu servidor regularmente. Também é importante atualizar frequentemente o software de gerenciamento de conteúdo, devendo usar um, juntamente com quaisquer plugins que ele possa ter. Cada nova versão vem com patches de segurança para solucionar vulnerabilidades de segurança conhecidas.
13. Pare ou desligue todos os serviços desnecessários
Melhore a segurança dos servidores reduzindo o chamado vetor de ataque.
É um conceito de segurança cibernética que se refere à configuração e manutenção apenas dos requisitos mínimos necessários para manter seu serviço funcionando. Basta habilitar as portas de rede utilizadas para conectar o SO e outros componentes instalados. Quanto menos portas você usar para instalar em seu sistema, mais eficiente será.
Um servidor Windows OS deve incluir apenas os componentes do sistema operacional que são necessários. O servidor do sistema operacional Linux deve ter uma instalação básica, com apenas os aplicativos mais essenciais instalados.
Como a maioria das distribuições Linux monitora as conexões de entrada com a Internet, você deve configurar seu firewall para permitir apenas portas específicas e bloquear outras comunicações que não sejam necessárias.
Verifique as dependências antes de instalar o software, para garantir que você não esteja adicionando recursos desnecessários, verifique as dependências que iniciam automaticamente em seu sistema e determine se você deseja que elas estejam lá.
14. Ocultar informações do servidor
Certifique-se de fornecer o mínimo de detalhes possível sobre a infraestrutura do servidor. Quanto menos informações estiverem disponíveis, melhor.
Além disso, é recomendável ocultar as versões de qualquer software que você instalou em seu servidor. Na maioria das vezes, eles mostram por padrão a data exata de lançamento, o que pode ajudar os hackers a procurar vulnerabilidades. Geralmente, é fácil apagar essas informações eliminando-as do cabeçalho HTTP do banner de saudação.
15. Use Sistemas de Detecção de Intrusão
Para detectar qualquer atividade suspeita para identificar qualquer atividade suspeita, instale um sistema de detecção de intrusão (IDS), como o Sophos, que monitora os processos em execução em seu sistema. Ele pode ser configurado para monitorar suas atividades diárias ou executar verificações automáticas periódicas ou optar por usar um IDS manualmente.
16. Auditoria de Arquivos
A auditoria de arquivos é outro método excelente para descobrir quaisquer alterações indesejáveis em seu sistema.
É manter o controle de todos os recursos do seu sistema, quando está em um estado saudável, “saudável”, e compará-lo com a condição atual. Ao comparar diferentes versões do sistema lado a lado, você poderá ver todas as inconsistências e determinar sua origem.
17. Auditoria de Serviço
A auditoria de serviço se concentra em quais aplicativos estão no servidor e quais protocolos eles usam e a quais portas estão se conectando. Conhecer esses detalhes pode ajudar a configurar áreas de ataque no sistema.
18. Crie e mantenha o firewall
Proteja seu servidor restringindo o acesso ao seu servidor.
A utilização do CSF (ConfigServer junto com o Firewall) é crucial para proteger seu servidor. O CSF permite apenas certas conexões essenciais e bloqueia o acesso de outros aplicativos.
Crie um firewall na configuração inicial do servidor ou sempre que fizer modificações nos serviços que o servidor fornece. Na configuração padrão, um servidor pode executar uma variedade de serviços, como serviços privados, públicos e internos.
- Os serviços públicos são normalmente operados por servidores da web que permitem o acesso a sites. Qualquer pessoa pode se conectar a esses serviços, normalmente sem revelar sua identidade, na internet.
- Serviços privados são utilizados para lidar com o painel de controle de bancos de dados, por exemplo. Neste caso, existem algumas pessoas escolhidas que precisam de acesso a este banco de dados.
- Os serviços internos são aqueles que não devem ser disponibilizados para a internet ou para o exterior. Só é possível acessá-los por dentro do servidor ou por conexões locais.
O objetivo de um firewall é permitir o acesso, limitá-lo e filtrá-lo dependendo do serviço que o usuário foi autorizado a usar. O firewall deve ser configurado para limitar o acesso a todos os serviços, excluindo aqueles que são necessários para o seu servidor.
19. Faça backup do seu servidor
Embora as etapas mencionadas anteriormente tenham como objetivo proteger os dados do servidor, é essencial fazer backup do servidor no caso de algo dar errado.
Crie backups criptografados de suas informações mais importantes fora do local ou empregue soluções em nuvem.
Se você usa backups automatizados ou os faz manualmente, certifique-se de criar o hábito desta etapa de segurança, além de examinar os backups realizando testes completos. Ele também deve incluir “testes de sanidade” onde os administradores, ou mesmo os usuários finais, garantem que a recuperação dos dados seja consistente.
20. Crie ambientes multi-servidor
O isolamento está entre as formas mais eficazes de proteção para servidores que você pode obter.
A separação total exigiria servidores exclusivos feitos de metal que não compartilham partes com servidores que compartilham os mesmos componentes. Embora seja o mais simples de gerenciar e ofereça a maior segurança, também é econômico.
Ambientes de execução separados dentro de data centers permitem usar o termo Separação de Tarefas (SoD) e definir a configuração do servidor de acordo com as funções que o servidor é capaz de desempenhar.
Separar bancos de dados de servidores de aplicativos da Web é um método de segurança comum. Diferentes sistemas de execução são particularmente úteis para empresas de grande porte que não podem arcar com riscos de segurança.
Bancos de dados independentes protegem dados confidenciais e arquivos do sistema de hackers que têm a capacidade de acessar contas de administrador. Além disso, o isolamento permite que os administradores de sistemas personalizem a segurança de seus aplicativos da Web e reduzam o risco de ataque configurando firewalls para aplicativos da Web.
