云端安装了一台虚拟机 Web 服务器。我自己配置了它,上面有两个公司网站。我没有计划在那里安装任何其他东西。因此,在公开之前,我想检查它是否存在安全漏洞。请指导我最佳实践、检查表和审计程序,以及任何可以衡量和评估服务器安全性的东西。
答案1
从网络安全角度来看,您可以执行以下操作:
- 确保服务器已完全修补。这一点我再怎么强调也不为过。
- 确保不要向外界暴露任何不必要的服务,希望只暴露端口 80。
- 对服务器运行漏洞扫描,例如 Nessus 或 OpenVAS。有很多安全工具可以帮助您进行漏洞扫描。检查每个发现并在必要时采取对策
- 禁用您实际上不需要的功能,减少您的攻击面。
- 如果尚未启用,请启用 SELinux
应用程序安全方面的事情是完全不同的故事,您没有提供任何有关它的信息,因此适用通常的警告。