網路安全與伺服器安全

安全的核心就是功能盡可能簡單與避免對外暴露。

避免暴露

越複雜的功能，留下的隱患也就越多，這是必然的。

而避免暴露也是同理，對外暴露越多，風險也就越高。

舉例來說，一般情況下你不應該將後端暴露在公共網絡下。

行業安全的標準是，透過vpn訪問內部網路。 對外暴露vpn，再透過vpn去訪問內部網路。
比如： phpadmin，後臺管理（包括諸如web panel和系統後臺），SSH，RDP等。

除此之外，還有以下方法：

1. 最小化服務暴露

僅啟用需要的服務。任何未被使用的服務或端口都應該被禁用，以減少潛在攻擊面。
例如，如果伺服器只需要提供 Web 服務，那麼應該關閉與此無關的端口（如 FTP 或 SMB）。

2. 限制訪問權限

所有的訪問應該遵循最小權限原則。這意味著使用者或應用程式僅能存取其完成任務所需的資源。例如：

• 角色分離帳戶（管理員和使用者）。
• IP 白名單。
• 避免使用密碼，首選應是無密碼，包括 SSH 密鑰或雙因子認證（2FA）。

3. 定期更新與補丁管理

保證系統和軟體的更新是抵禦已知漏洞的第一道防線。這應該包括：

• 自動化更新（如果可行）。
• 設置通知，訂閱軟體的新版本或安全補丁。

4. 使用入侵檢測系統 (IDS)

部署入侵檢測系統，例如 Fail2Ban 或 OSSEC，用於監控異常活動。一旦發現可疑行為（例如多次失敗的 SSH 登錄嘗試），這些系統可以自動封鎖攻擊者的 IP。

5. 定期分析審查日誌

啟用詳細的伺服器日誌記錄，並定期審查這些記錄。對於關鍵事件（例如多次登錄嘗試或未授權的訪問），設置即時通知。

6. 分段網路設計

將伺服器分為不同的網路區段，每個區段負責不同的功能。例如：

• 公共服務區（如 Web 伺服器）。
• 資料庫區（僅內部訪問）。
• 管理區（僅允許管理員訪問）。

這樣即使攻擊者入侵了一個區域，他們仍然需要突破額外的防線才能進一步擴展。

7. 定期備份

無論如何強化防護，伺服器仍有可能受到攻擊或遭遇意外：

• 定期備份（每日或每週）。
• 分佈式備份，備份冗餘。