強(qiáng)化Linux服務(wù)器的7個(gè)步驟

這篇入門文章將向你介紹基本的?Linux?服務(wù)器安全知識(shí)。雖然主要針對(duì) Debian/Ubuntu,但是你可以將此處介紹的所有內(nèi)容應(yīng)用于其他 Linux 發(fā)行版。我也鼓勵(lì)你研究這份材料,并在適用的情況下進(jìn)行擴(kuò)展。

1、更新你的服務(wù)器

創(chuàng)新互聯(lián)建站堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的江州網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

保護(hù)服務(wù)器安全的第一件事是更新本地存儲(chǔ)庫(kù),并通過應(yīng)用最新的修補(bǔ)程序來升級(jí)操作系統(tǒng)和已安裝的應(yīng)用程序。
在 Ubuntu 和 Debian 上:

$?sudo?apt?update?&&?sudo?apt?upgrade?-y

在 Fedora、CentOS?或 RHEL:

$?sudo?dnf?upgrade

2、創(chuàng)建一個(gè)新的特權(quán)用戶

接下來,創(chuàng)建一個(gè)新的用戶帳戶。永遠(yuǎn)不要以 root 身份登錄服務(wù)器,而是創(chuàng)建你自己的帳戶(用戶),賦予它 sudo 權(quán)限,然后使用它登錄你的服務(wù)器。
首先創(chuàng)建一個(gè)新用戶:

$?adduser

通過將 sudo 組(-G)附加(-a)到用戶的組成員身份里,從而授予新用戶帳戶 sudo 權(quán)限:

$?usermod?-a?-G?sudo

3、上傳你的 SSH 密鑰

你應(yīng)該使用 SSH 密鑰登錄到新服務(wù)器。你可以使用 ssh-copy-id?命令將預(yù)生成的 SSH 密鑰上傳到你的新服務(wù)器:

$?ssh-copy-id@ip_address

現(xiàn)在,你無需輸入密碼即可登錄到新服務(wù)器。

4、安全強(qiáng)化 SSH

接下來,進(jìn)行以下三個(gè)更改:
禁用 SSH 密碼認(rèn)證
限制 root 遠(yuǎn)程登錄
限制對(duì) IPv4 或 IPv6 的訪問
使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 并確保以下行:

PasswordAuthentication?yes
PermitRootLogin?yes

改成這樣:

PasswordAuthentication?no
PermitRootLogin?no

接下來,通過修改 AddressFamily 選項(xiàng)將 SSH 服務(wù)限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4(對(duì)大多數(shù)人來說應(yīng)該沒問題),請(qǐng)進(jìn)行以下更改:

AddressFamily?inet

重新啟動(dòng) SSH 服務(wù)以啟用你的更改。請(qǐng)注意,在重新啟動(dòng) SSH 服務(wù)之前,與服務(wù)器建立兩個(gè)活動(dòng)連接是一個(gè)好主意。有了這些額外的連接,你可以在重新啟動(dòng) SSH 服務(wù)出錯(cuò)的情況下修復(fù)所有問題。
在 Ubuntu 上:

$?sudo?service?sshd?restart

在 Fedora 或 CentOS 或任何使用 Systemd 的系統(tǒng)上:

$?sudo?systemctl?restart?sshd

5、啟用防火墻

現(xiàn)在,你需要安裝防火墻、啟用防火墻并對(duì)其進(jìn)行配置,以僅允許你指定的網(wǎng)絡(luò)流量通過。(Ubuntu 上的)簡(jiǎn)單的防火墻(UFW)是一個(gè)易用的 iptables 界面,可大大簡(jiǎn)化防火墻的配置過程。

你可以通過以下方式安裝 UFW:

$?sudo?apt?install?ufw

默認(rèn)情況下,UFW 拒絕所有傳入連接,并允許所有傳出連接。這意味著服務(wù)器上的任何應(yīng)用程序都可以訪問互聯(lián)網(wǎng),但是任何嘗試訪問服務(wù)器的內(nèi)容都無法連接。
首先,確保你可以通過啟用對(duì) SSH、HTTP 和 HTTPS 的訪問來登錄:

$?sudo?ufw?allow?ssh
$?sudo?ufw?allow?http
$?sudo?ufw?allow?https

然后啟用 UFW:

$?sudo?ufw?enable

你可以通過以下方式查看允許和拒絕了哪些服務(wù):

$?sudo?ufw?status

如果你想禁用 UFW,可以通過鍵入以下命令來禁用:

$?sudo?ufw?disable

你還可以(在 RHEL/CentOS 上)使用 firewall-cmd,它已經(jīng)安裝并集成到某些發(fā)行版中。

6、安裝 Fail2ban

Fail2ban 是一種用于檢查服務(wù)器日志以查找重復(fù)或自動(dòng)擊的應(yīng)用程序。如果找到任何攻,它會(huì)更改防火墻以永久地或在指定的時(shí)間內(nèi)阻止攻者的 IP 地址。

https://article.pchome.net/content-2103559.html

http://www.51cto.com/it/news/2019/1111/16471.html

https://www.csdn.net/article/a/2019-11-11/15983970


你可以通過鍵入以下命令來安裝 Fail2ban:

$?sudo?apt?install?fail2ban?-y

然后復(fù)制隨附的配置文件:

$?sudo?cp?/etc/fail2ban/jail.conf?/etc/fail2ban/jail.local

重啟 Fail2ban:

$?sudo?service?fail2ban?restart

這樣就行了。該軟件將不斷檢查日志文件以查找攻。一段時(shí)間后,該應(yīng)用程序?qū)⒔⑾喈?dāng)多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務(wù)的當(dāng)前狀態(tài)來查看此列表:

$?sudo?fail2ban-client?status?ssh

7、移除無用的網(wǎng)絡(luò)服務(wù)

幾乎所有 Linux 服務(wù)器操作系統(tǒng)都啟用了一些面向網(wǎng)絡(luò)的服務(wù)。你可能希望保留其中大多數(shù),然而,有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運(yùn)行的網(wǎng)絡(luò)服務(wù):(LCTT 譯注:應(yīng)該是只保留少部分,而所有確認(rèn)無關(guān)的、無用的服務(wù)都應(yīng)該停用或刪除。)

$?sudo?ss?-atpu

ss 的輸出取決于你的操作系統(tǒng)。下面是一個(gè)示例,它顯示 SSH(sshd)和 Ngnix(nginx)服務(wù)正在偵聽網(wǎng)絡(luò)并準(zhǔn)備連接:

tcp?LISTEN?0?128?*:http?*:*?users:(("nginx",pid=22563,fd=7))
tcp?LISTEN?0?128?*:ssh?*:*?users:(("sshd",pid=685,fd=3))

刪除未使用的服務(wù)的方式因你的操作系統(tǒng)及其使用的程序包管理器而異。
要在 Debian / Ubuntu 上刪除未使用的服務(wù):

$?sudo?apt?purge

要在 Red Hat/CentOS 上刪除未使用的服務(wù):

$?sudo?yum?remove

再次運(yùn)行 ss -atup 以確認(rèn)這些未使用的服務(wù)沒有安裝和運(yùn)行。

總結(jié)

本教程介紹了加固 Linux 服務(wù)器所需的最起碼的措施。你應(yīng)該根據(jù)服務(wù)器的使用方式啟用其他安全層。這些安全層可以包括諸如各個(gè)應(yīng)用程序配置、入檢測(cè)軟件(IDS)以及啟用訪問控制(例如,雙因素身份驗(yàn)證)之類的東西。

網(wǎng)頁(yè)名稱:強(qiáng)化Linux服務(wù)器的7個(gè)步驟
標(biāo)題路徑:http://bm7419.com/article2/igoioc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站手機(jī)網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)站維護(hù)、軟件開發(fā)、網(wǎng)站營(yíng)銷

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)