Các nguyên tắc giữ an toàn cho máy chủ của bạn khá đơn giản.
Không theo thứ tự ưu tiên:
- Luôn cập nhật phần mềm của bạn. (Liên quan: chỉ chạy các phiên bản được hỗ trợ/duy trì.)
- Chỉ chạy các dịch vụ bạn cần.
- Chỉ cài đặt phần mềm bạn cần.
- Cấu hình phần mềm của bạn một cách chính xác.
- Cấp quyền truy cập dựa trên nguyên tắc đặc quyền tối thiểu.
- Thêm giám sát.
Thiết lập một đường cơ sở và cảnh báo về độ lệch.
Các chi tiết cụ thể phụ thuộc khá nhiều vào phần mềm thực tế, các dịch vụ mà bạn cần chạy và các yêu cầu của bạn.
Để xác thực bên ngoài cấu hình của bạn: Có rất nhiều máy quét lỗ hổng và/hoặc bộ công cụ kiểm tra thâm nhập như bạn có thể thấy trên các danh sách như danh sách này: https://owasp.org/www-community/Vulnerability_Scanning_Tools
Xin lưu ý rằng các lần quét như vậy thường dựa vào việc xác định số phiên bản của phần mềm đã cài đặt của bạn và chúng không kiểm tra xem các lỗ hổng đã biết có thể bị khai thác thành công hay không. Điều đó có thể dẫn đến nhiều kết quả dương tính giả trên các bản phân phối Linux thực hiện chuyển ngược lại bảo mật, như đã giải thích ví dụ trong phần Hỏi & Đáp này Tuân thủ PCI: cài đặt Apache 2.4.17 trên Ubuntu 14.04.3?
Quá trình quét được xác thực có thể giúp khắc phục điều đó bằng cách kiểm tra phiên bản của gói, thay vì kiểm tra chuỗi phiên bản mà ứng dụng báo cáo.
Một cách tiếp cận khác nhiều hơn từ góc độ quản lý hệ thống với quản lý máy chủ tập trung bao gồm quản lý bản phát hành và bản vá.
Ví dụ như Ubuntu Cảnh quan , Mũ đỏ Vệ tinh và Microsoft SCCM
