Linux伺服器安全性提升

導讀	每天都有成千上萬的新網站誕生，這些網站大部分都是採用 作為伺服器，一方面是linux是免費的，需要資源更少，更穩定，一方面是因為linux的伺服器防護性更高。但是如果我們不正確使用linux的話，它也是非常容易被攻擊的，下面我們就介紹下如何更好地配置我們的伺服器，讓它更安全。

在我們使用windows的時候，我們習慣使用管理員賬號，因為它的許可權是最高的，操作修改配置很方便，但是對於伺服器，特別是linux伺服器，我們不建議直接使用root使用者登入，因為它的許可權太大了，它可以做任何事情，包括損壞掉作業系統本身，因此，我們最好建立一個新的使用者，然後禁用root賬號的ssh登入，當我們想要一些root管理許可權的時候，我們可以使用sudo來授權。

當我們建立密碼的時候需要注意不要使用簡單的密碼，密碼要複雜，不要使用明文記錄我們的密碼，我們應該使用密碼管理器來儲存我們的密碼。

我們的伺服器有時候可能需要多人登入，我們最好設定每個使用者的許可權，不要讓他可以讀取其他人的檔案。那麼我們可以透過設定umask來進行設定，當我們執行UMASK 077 之後，我們再建立新使用者的時候，它的許可權就是rxx------，沒有訪問其它使用者目錄的許可權。

預設情況下，我們的22埠是開放的，但是我們最好將它修改成其它的，這樣可以大機率防止其它使用者的非法訪問。其它的埠比如80，443這些是網站需要使用的埠，我們應該開啟，其它的埠如果不需要，我們最好都關閉，這樣可以大大降低伺服器被攻擊的機率。 對於一些軟體，比如redis，mongo等，也是最好不要使用預設埠，修改成其它埠更好一些。

對於一些敏感檔案，我們需要對它進行加密，這樣即使其它使用者獲得了它，也無法檢視它的正確內容，我們可以透過gpg來進行加密。

使用ssh登入的時候，我們除了使用使用者名稱密碼登入之外，我們還可以使用秘鑰來進行登入。而這也是非常推薦的方式，我們只需要透過ssh-keygen建立公鑰私鑰，然後將公鑰複製到本地機器，就可以在本地實現無密碼登入伺服器了。

我們應該將我們的日誌記錄開啟，並時常檢查我們的日誌，比如一些非法登入，一些非法訪問，在日誌記錄中都有，對於一些非法ip攻擊我們都可以在日誌中進行檢視獲取。

預設情況下，linux為我們提供了很多的服務，有些服務我們是不需要的，我們就可以把它們禁用掉，這樣不僅節省了伺服器的資源，還能避免有些服務被攻擊。

雖然 FTP 和 telnet 很多時候仍在使用，但是 rsh 和 rlogin 是遺留程式/服務。 應該避免使用它們。 這些是純文字協議，您網路中的任何人都可以嗅探您的流量以讀取純文字資料通訊。

更推薦使用 OpenSSH、SFTP 或 FTPS（基於 SSL 的 FTP）來加密資料通訊。

因為 FTP 以明文形式傳送資料，因此不能透過它傳送敏感檔案。 始終建議使用帶有公鑰私鑰的物件的 SSH 來訪問和轉發敏感資訊。

原文來自： https://www.linuxprobe.com/linux-server-security-improvement.html