安全強化你的 Linux 伺服器的七個步驟
通過七個簡單的步驟來加固你的 Linux 伺服器。
這篇入門文章將向你介紹基本的 Linux 伺服器安全知識。雖然主要針對 Debian/Ubuntu,但是你可以將此處介紹的所有內容應用於其他 Linux 發行版。我也鼓勵你研究這份材料,並在適用的情況下進行擴充套件。
1、更新你的伺服器
保護伺服器安全的第一件事是更新本地儲存庫,並通過應用最新的修補程式來升級作業系統和已安裝的應用程式。
在 Ubuntu 和 Debian 上:
$ sudo apt update && sudo apt upgrade -y在 Fedora、CentOS 或 RHEL:
$ sudo dnf upgrade2、建立一個新的特權使用者
接下來,建立一個新的使用者帳戶。永遠不要以 root 身份登入伺服器,而是建立你自己的帳戶(使用者),賦予它 sudo 許可權,然後使用它登入你的伺服器。
首先建立一個新使用者:
$ adduser <username>通過將 sudo 組(-G)附加(-a)到使用者的組成員身份裡,從而授予新使用者帳戶 sudo 許可權:
$ usermod -a -G sudo <username>3、上傳你的 SSH 金鑰
你應該使用 SSH 金鑰登入到新伺服器。你可以使用 ssh-copy-id 命令將預生成的 SSH 金鑰上傳到你的新伺服器:
$ ssh-copy-id <username>@ip_address現在,你無需輸入密碼即可登入到新伺服器。
4、安全強化 SSH
接下來,進行以下三個更改:
- 禁用 SSH 密碼認證
- 限制 root 遠端登入
- 限制對 IPv4 或 IPv6 的訪問
使用你選擇的文字編輯器開啟 /etc/ssh/sshd_config 並確保以下行:
PasswordAuthentication yes
PermitRootLogin yes改成這樣:
PasswordAuthentication no
PermitRootLogin no接下來,通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4(對大多數人來說應該沒問題),請進行以下更改:
AddressFamily inet重新啟動 SSH 服務以啟用你的更改。請注意,在重新啟動 SSH 服務之前,與伺服器建立兩個活動連線是一個好主意。有了這些額外的連線,你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。
在 Ubuntu 上:
$ sudo service sshd restart在 Fedora 或 CentOS 或任何使用 Systemd 的系統上:
$ sudo systemctl restart sshd5、啟用防火牆
現在,你需要安裝防火牆、啟用防火牆並對其進行配置,以僅允許你指定的網路流量通過。(Ubuntu 上的)簡單的防火牆(UFW)是一個易用的 iptables 介面,可大大簡化防火牆的配置過程。
你可以通過以下方式安裝 UFW:
$ sudo apt install ufw預設情況下,UFW 拒絕所有傳入連線,並允許所有傳出連線。這意味著伺服器上的任何應用程式都可以訪問網際網路,但是任何嘗試訪問伺服器的內容都無法連線。
首先,確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登入:
$ sudo ufw allow ssh
$ sudo ufw allow http
$ sudo ufw allow https然後啟用 UFW:
$ sudo ufw enable你可以通過以下方式檢視允許和拒絕了哪些服務:
$ sudo ufw status如果你想禁用 UFW,可以通過鍵入以下命令來禁用:
$ sudo ufw disable你還可以(在 RHEL/CentOS 上)使用 firewall-cmd,它已經安裝並整合到某些發行版中。
6、安裝 Fail2ban
Fail2ban 是一種用於檢查伺服器日誌以查詢重複或自動攻擊的應用程式。如果找到任何攻擊,它會更改防火牆以永久地或在指定的時間內阻止攻擊者的 IP 地址。
你可以通過鍵入以下命令來安裝 Fail2ban:
$ sudo apt install fail2ban -y然後複製隨附的配置檔案:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local重啟 Fail2ban:
$ sudo service fail2ban restart這樣就行了。該軟體將不斷檢查日誌檔案以查詢攻擊。一段時間後,該應用程式將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來檢視此列表:
$ sudo fail2ban-client status ssh7、移除無用的網路服務
幾乎所有 Linux 伺服器作業系統都啟用了一些面向網路的服務。你可能希望保留其中大多數,然而,有一些你或許希望刪除。你可以使用 ss 命令檢視所有正在執行的網路服務:(LCTT 譯註:應該是隻保留少部分,而所有確認無關的、無用的服務都應該停用或刪除。)
$ sudo ss -atpuss 的輸出取決於你的作業系統。下面是一個示例,它顯示 SSH(sshd)和 Ngnix(nginx)服務正在偵聽網路並準備連線:
tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))
tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))刪除未使用的服務的方式因你的作業系統及其使用的程式包管理器而異。
要在 Debian / Ubuntu 上刪除未使用的服務:
$ sudo apt purge <service_name>要在 Red Hat/CentOS 上刪除未使用的服務:
$ sudo yum remove <service_name>再次執行 ss -atup 以確認這些未使用的服務沒有安裝和執行。
總結
本教程介紹了加固 Linux 伺服器所需的最起碼的措施。你應該根據伺服器的使用方式啟用其他安全層。這些安全層可以包括諸如各個應用程式配置、入侵檢測軟體(IDS)以及啟用訪問控制(例如,雙因素身份驗證)之類的東西。
via: https://opensource.com/article/19/10/linux-server-security
作者:Patrick H. Mullins 選題:lujun9972 譯者:wxy 校對:wxy
訂閱“Linux 中國”官方小程式來檢視
相關文章
- 強化Linux 伺服器的7個步驟Linux伺服器
- 搭建高效雲的七個步驟
- 【安全管理】伺服器漏洞評估的幾個步驟伺服器
- 15步打造一個安全的Linux伺服器Linux伺服器
- 應用容器化的五個步驟
- vnc安裝步驟,4個在Linux下vnc的個安裝步驟VNCLinux
- 實現個人目標的七個步驟
- 伺服器漏洞評估的幾個步驟伺服器
- 實現安全設計模式的7個步驟設計模式
- 牢記這七點 讓你的Linux伺服器變得更安全Linux伺服器
- 智慧資料視覺化的5個步驟視覺化
- 資料中心現代化的7個步驟
- 10個步驟讓你成為高效的Web開發者Web
- 【知識分享】dns解析伺服器的幾個步驟DNS伺服器
- 10招步驟保護IIS伺服器安全伺服器
- linux伺服器安裝jdk步驟Linux伺服器JDK
- 讓物聯網戰略步入快車道的七個步驟
- 零售行業進行資料探勘的七個步驟行業
- 防止軟體工程專案範圍蔓延的七個步驟(轉)軟體工程
- realvnc linux,realvnc linux配置的8個步驟VNCLinux
- [譯]如何通過7個簡單步驟保護您的Linux伺服器Linux伺服器
- 十個步驟提高 SQL Server 安裝的安全性SQLServer
- Linux雲主機安全入侵排查步驟Linux
- 幾個步驟,讓你的 iOS 程式碼容易閱讀iOS
- 配置簡單的linux 的幾個操作步驟(Cent OS)Linux
- TFTP伺服器路由設定的三個簡單步驟FTP伺服器路由
- 專家教你加強網路防護的四個步驟(轉)
- 將你的應用遷移到 Python 3 的三個步驟Python
- 七個技巧保護你的電子郵件安全
- vnc安裝步驟,4個vnc安裝步驟實現vnc與Linux的連線VNCLinux
- Linux核心即時入侵檢測安全增強-系統呼叫執行步驟(轉)Linux
- 用PAM來增強LINUX伺服器的安全(一)Linux伺服器
- 優化 SQL 語句的步驟優化SQL
- 資料庫優化的步驟資料庫優化
- 流程化產品資料運營的十一個步驟
- 【知識分享】排查伺服器網路故障的幾個步驟伺服器
- 關於Linux伺服器系統的七大優勢,你知道幾個?Linux伺服器
- ArgoWorkflow教程(七)---高效的步驟間檔案共享策略Go