怎么确认服务器的安全性

服务器是我们互联网业务开展中使用到最广泛的电子设备，它是主要是用来存储数据和对数据进行分析处理。但是我们在日常使用的过程中常受到网络攻击的威胁。针对这样的情况，我们在使用过程中需要注意哪些方面呢？

1及时更改服务器的登录密码

我们在服务器租用以后，服务商会给我们登录端口账号和密码，我们在拿到账号和密码之后，首先要做的就是需要对服务器的登录密码进行修改。除此之外，并定期对此账号密码进行修改，以保障服务器的账号密码安全。

2选择有防御的服务器

现如今，为了抵御网络攻击，很多商家都推出了高防服务器。对于易于被网络攻击的行业，例如游戏、金融、电商等行业，我们应该尽可能地选择高防服务器。不仅能防御大流量攻击，更是能保障我们的数据信息不被丢失。

3数据定期备份

服务器是精密的电子设备，数据资料是存储在硬盘空间当中。但硬盘等设备难免也会出现故障，导致数据的损坏或者丢失。因此我们需要对数据资料定期进行备份，保障数据的安全。

4及时更新系统补丁

系统服务商会不定期的发布系统补丁，我们需要及时对系统的漏洞进行修补，杜绝安全隐患。这是保障服务器安全最关键的环节。

除此之外，在挑选服务器商的时候也要尽量小心排雷，如果想要追求超低的价格那就要注意你所选的服务器商有可能随时都会跑路，选择一个靠谱的服务器商能够省去很多风险也会少很多麻烦

以 Windows Server 2008 为例，

1、远程连接并登录到 Windows 实例。

2、选择开始>运行，输入msconfig，打开系统配置窗口。

3、选择引导选项卡，勾选安全引导，按需求勾选安全引导选项。然后单击应用。

4、登录ECS 控制台，找到该实例，选择更多>重启。重启后系统将会自动按照上述所选的安全模式进行引导。

5、如果需要恢复到正常的系统引导，只需通过使用远程连接功能连接 ECS 实例进入服务器，取消勾选上述配置重启系统即可。

首先以系统管理员身份打开Windows Server 2008系统的“开始”菜单，从中选择“运行”命令，在其后的系统运行框中输入“control userpasswords2”字符串命令，单击“确定”按钮后，进入本地服务器的用户账户设置对话框；

　　其次在该设置对话框中单击“用户”标签，选中对应标签设置页面中的“要使用本机，用户必须输入用户名和密码”选项，之后单击“高级”标签，标签设置页面；在该设置页面的“安全登录”设置项处，选中“要求用户按Ctrl+Alt+Delete”选项，再单击“确定”按钮，那样一来任何一位用户登录Windows Server 2008系统之前，都需要按下Ctrl+Alt+Delete复合键，打开系统登录对话框，然后手工输入系统管理员账号才能登录进本地服务器系统，而此时手工输入的系统管理员账号名称以及密码是不会被模仿登录登录所窃取的。

粗略地分析， 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码，向服务器提出登录请求，服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后， 服务器能够分辨出已登录的客户端，并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是，客户端登录成功后， 服务器为其分配sessionId, 客户端随后每次请求资源时都带上sessionId。

上述简易的登录验证策略存在明显的安全漏洞,需要优化。

客户端第一次发出登录请求时， 用户密码以明文的方式传输， 一旦被截获， 后果严重。因此密码需要加密，例如可采用RSA非对称加密。具体流程如下：

再仔细核对上述登录流程， 我们发现服务器判断用户是否登录， 完全依赖于sessionId, 一旦其被截获， 黑客就能够模拟出用户的请求。于是我们需要引入token的概念： 用户登录成功后， 服务器不但为其分配了sessionId, 还分配了token， token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据，也需要加密。于是一次登录的细节再次扩展。

在最原始的方案中， 登录保持仅仅靠服务器生成的sessionId: 客户端的请求中带上sessionId, 如果服务器的redis中存在这个id，就认为请求来自相应的登录客户端。 但是只要sessionId被截获， 请求就可以为伪造， 存在安全隐患。

引入token后，上述问题便可得到解决。 服务器将token和其它的一些变量， 利用散列加密算法得到签名后，连同sessionId一并发送给服务器； 服务器取出保存于服务器端的token,利用相同的法则生成校验签名， 如果客户端签名与服务器的校验签名一致， 就认为请求来自登录的客户端。

13 TOKEN失效

用户登录出系统

失效原理：

在服务器端的redis中删除相应key为session的键值对。

App因为要实现自动登陆功能，所以必然要保存一些凭据，所以比较复杂。

App登陆要实现的功能：

这里判断时间，主要是防止攻击者截取到加密串后，可以长久地利用这个加密串来登陆。

不用AES加密，用RSA公钥加密也是可以的。AES速度比RSA要快，RSA只能存储有限的数据。