學會這些,讓你的伺服器遠離攻擊影響

介紹:

    SSH又稱Secure Shell, 是linux下常用的遠端登陸伺服器方式, 其基於SSL加密功能, 相比較ftp, telnet等明文傳輸協議來說安全等級更高, 在在企業開發環境中被大量使用, 而基於SSH的安全方式魚龍混雜, 各有春秋.  

原因：

    有一個朋友是做遊戲的，他告訴我他們公司關於ssh安全方面就有五層驗證！好吧，可能對於一些不是很注重安全的運維小夥伴來說，弄那麼複雜幹嘛？甚至有的公司直接root登陸(很危險)， 甚至有的ssh預設埠都不改。 我個人認為不一定安全做的那麼多，（當然要根據公司業務具體環境具體來定）但起碼一些基本的安全方面要做到位！

下面是我多年實戰個人總結一些方法，介紹並分享給大家！

常用的伺服器安全方面的措施：

    1、硬防火牆。

        通過硬體防火牆acl策略也決定是否可以訪問某臺主機

    2、軟防火牆    [常用]

        比如iptables，tcpwrappers，防護軟體等，內部對主機進一步進行限制

    3、修改預設的ssh埠    [必用]

        預設是22，建議改成五位。

    4、密碼要符合複雜性要求，防止暴力破解   [必用]

        避免ssh暴力破解，建議密碼稍微複雜一些，符合四分之三原則！

    5、禁止root登陸             [必用]

        禁止root遠端ssh登入

        在/etc/ssh/sshd_config設定：PermitRootLogin no：

        禁止root本機登入（根據具體環境，這個不是很必要）

        將 auth required pam_succeed_if.so user != root quiet

        新增到/etc/pam.d/login 檔案第一行

    6、禁止密碼登陸            [常用]

        刪除不必要的賬號，並禁止使用者密碼登陸

    7、公鑰私鑰認證            [常用]

        通過公鑰私鑰rsa2048，並設定複雜性密碼

    8、LDAP等方式統一認證登陸    

        通過對ssh賬號集中化管理，進一步提升安全

    9、對secure日誌進行日誌切割，通過指令碼，對於不安全的訪問ip進行過濾並報警

        secure日誌記錄著使用者遠端登陸的資訊，可通過檢視此日誌排查不安全因素。

    10、搭建日誌伺服器，對secure日誌進行監控。排查不安全因素

        一個好的日誌伺服器，可大大減輕管理員的工作，並方便管理。

        。。。。。。

總結：

    上面只是在一些常見的生產環境碰到的一些問題和個人總結，當然還有很多種方式可以提高其安全性，根據實地生產環境和需求環境，靈活變通選擇適合生產環境的的安全措施才是王道！

      本文轉自asd1123509133 51CTO部落格，原文連結：http://blog.51cto.com/lisea/1791144，如需轉載請自行聯絡原作者