每个sysadmin管理员在管理公共服务器之前应了解什么？

类似于Stack Overflow上的此问题，习惯于私有Intranet类型情况的sysadmin在成为公共站点的管理员之前应了解什么？

这些可能是与安全相关的事情，例如“不要留下来telnet”，或者是实际的事情，例如如何为高流量的站点进行负载平衡。

• 服务器上存在的每个应用程序，每个二进制文件，每个程序包都是责任。遵循“最少”原则；如果未安装，则不会受到损害。

• 实施入侵检测，例如Tripwire或类似工具，并经常扫描。

• 投资硬件防火墙，仅打开应用程序所需的端口。请勿公开显示您的管理端口（ssh，rdp等）；将它们限制为批准的管理IP地址。

• 在投入生产时，请备份防火墙/交换机/路由器的配置。如果其中一台设备受到威胁，则通过擦拭设备的大脑并重新加载配置从时钟中滴答作响地逐行审核，从恢复中恢复的速度要快得多。

• 经常从外部进行环境映射，以确保没有打开新端口。

• 永远不要相信互联网；确保您所服务的网络是安全的（例如，执行服务器端输入验证和清除以阻止SQL注入攻击）。

• 继续打补丁。

• 如果您受到损害，请使用新下载的介质从头开始重建。您将不再相信备份对于安全，不可执行的数据以外的任何事物都是安全的，并且也不会受到损害（尽管Tripwire可以帮助您解决此问题）。

我发现方便网络强化的一种工具是nessus

基本上，您将其设置在外部服务器上，并且它会尝试使用大量已知漏洞来攻击您的网络。您可以将其设置为安全模式（任何攻击都不会使服务器崩溃），或者如果您很有信心已修补了所有内容，或者可以在不安全模式下承担重启（如有必要）的费用。

然后，它将为每台计算机提供一个非常完整的分级报告，它可以查看发现的哪些漏洞/弱点，并对它们的严重性进行评级 -甚至建议要采取的措施来解决这些问题。

他们应该知道其备份和灾难恢复系统的工作方式，以及当系统受到威胁时如何恢复系统。

这有点矛盾，但是出于安全考虑，我不区分内部服务器和外部服务器。迟早有人会在防火墙中犯一个错误，管理层将坚持由于重要的客户端而使服务器暴露在外，会计中的贝蒂将以某种方式在受感染的家用计算机上获得一个vpn客户端，等等。

也就是说，图层是您的朋友，默认情况下您应该将其列入黑名单。

层-您应该具有多层安全性。例如，硬件防火墙和软件防火墙。从理论上讲，这些功能可达到相同的目的，但具有多层可防止错误并减轻利用单个层的后果。

分层的另一个方面是“ homecomcoming”，它实际上是多个DMZ。在某些时候，您必须在计算机与访问帐户的人员之间建立某种程度的信任。如果您可以缩小交互点的范围，则可以在任何时候严格控制您信任的流量类型。例如，如果将接口/应用程序服务器与数据库服务器分开，则会缩小信任级别。如果您的应用服务器受到威胁，这些攻击者将在您的基础架构上获得最小的立足点（也就是说，为了继续进行攻击并尝试利用您的其他服务器，他们将只使用那些已建立的信任点）。

对于默认情况下的黑名单，您应该基本上关闭所有内容，并要求您打开每个端口，允许访问的用户名，安装的应用等理由（即使仅是您自己）。

在具有ANY公共接口的系统上，请通过实施安全密码策略并使用密码破解实用程序（例如john the ripper）测试密码文件，确保您的用户具有安全密码

在几次尝试失败后，您可以阻止IP地址，从而进一步防止暴力破解密码猜测攻击。一个很好的工具（在Linux上）是fail2ban

您的交换机可能被黑客入侵，并且有人可以篡改数据。如果您不拥有该交换机，请设置一个vpn，因为按IP防火墙访问限制可能还不够。

不要打开任何端口，而是要让用户和黑客访问的端口。每月从其他站点扫描您自己的服务器。

不要让ssh的默认端口对黑客开放。