安全强化你的 Linux 服务器的七个步骤

通过七个简单的步骤来加固你的 Linux 服务器。

-- Patrick H. Mullins(作者)

这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu,但是你可以将此处介绍的所有内容应用于其他 Linux 发行版。我也鼓励你研究这份材料,并在适用的情况下进行扩展。

1、更新你的服务器

保护服务器安全的第一件事是更新本地存储库,并通过应用最新的修补程序来升级操作系统和已安装的应用程序。

在 Ubuntu 和 Debian 上:

$ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL:

$ sudo dnf upgrade

2、创建一个新的特权用户

接下来,创建一个新的用户帐户。永远不要以 root 身份登录服务器,而是创建你自己的帐户(用户),赋予它 sudo 权限,然后使用它登录你的服务器。

首先创建一个新用户:

$ adduser <username>

通过将 sudo 组(-G)附加(-a)到用户的组成员身份里,从而授予新用户帐户 sudo 权限:

$ usermod -a -G sudo <username>

3、上传你的 SSH 密钥

你应该使用 SSH 密钥登录到新服务器。你可以使用 ssh-copy-id 命令将 预生成的 SSH 密钥 上传到你的新服务器:

$ ssh-copy-id <username>@ip_address

现在,你无需输入密码即可登录到新服务器。

4、安全强化 SSH

接下来,进行以下三个更改:

  • 禁用 SSH 密码认证
  • 限制 root 远程登录
  • 限制对 IPv4 或 IPv6 的访问

使用你选择的文本编辑器打开 /etc/ssh/sshd_config 并确保以下行:

PasswordAuthentication yesPermitRootLogin yes

改成这样:

PasswordAuthentication noPermitRootLogin no

接下来,通过修改 AddressFamily 选项将 SSH 服务限制为 IPv4 或 IPv6。要将其更改为仅使用 IPv4(对大多数人来说应该没问题),请进行以下更改:

AddressFamily inet

重新启动 SSH 服务以启用你的更改。请注意,在重新启动 SSH 服务之前,与服务器建立两个活动连接是一个好主意。有了这些额外的连接,你可以在重新启动 SSH 服务出错的情况下修复所有问题。

在 Ubuntu 上:

$ sudo service sshd restart

在 Fedora 或 CentOS 或任何使用 Systemd 的系统上:

$ sudo systemctl restart sshd

5、启用防火墙

现在,你需要安装防火墙、启用防火墙并对其进行配置,以仅允许你指定的网络流量通过。(Ubuntu 上的) 简单的防火墙 (UFW)是一个易用的 iptables 界面,可大大简化防火墙的配置过程。

你可以通过以下方式安装 UFW:

$ sudo apt install ufw

默认情况下,UFW 拒绝所有传入连接,并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网,但是任何尝试访问服务器的内容都无法连接。

首先,确保你可以通过启用对 SSH、HTTP 和 HTTPS 的访问来登录:

$ sudo ufw allow ssh$ sudo ufw allow http$ sudo ufw allow https

然后启用 UFW:

$ sudo ufw enable

你可以通过以下方式查看允许和拒绝了哪些服务:

$ sudo ufw status

如果你想禁用 UFW,可以通过键入以下命令来禁用:

$ sudo ufw disable

你还可以(在 RHEL/CentOS 上)使用 firewall-cmd ,它已经安装并集成到某些发行版中。

6、安装 Fail2ban

Fail2ban 是一种用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何攻击,它会更改防火墙以永久地或在指定的时间内阻止攻击者的 IP 地址。

你可以通过键入以下命令来安装 Fail2ban:

$ sudo apt install fail2ban -y

然后复制随附的配置文件:

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

重启 Fail2ban:

$ sudo service fail2ban restart

这样就行了。该软件将不断检查日志文件以查找攻击。一段时间后,该应用程序将建立相当多的封禁的 IP 地址列表。你可以通过以下方法查询 SSH 服务的当前状态来查看此列表:

$ sudo fail2ban-client status ssh

7、移除无用的网络服务

几乎所有 Linux 服务器操作系统都启用了一些面向网络的服务。你可能希望保留其中大多数,然而,有一些你或许希望删除。你可以使用 ss 命令查看所有正在运行的网络服务:(LCTT 译注:应该是只保留少部分,而所有确认无关的、无用的服务都应该停用或删除。)

$ sudo ss -atpu

ss 的输出取决于你的操作系统。下面是一个示例,它显示 SSH(sshd)和 Ngnix(nginx)服务正在侦听网络并准备连接:

tcp LISTEN 0 128 *:http *:* users:(('nginx',pid=22563,fd=7))tcp LISTEN 0 128 *:ssh *:* users:(('sshd',pid=685,fd=3))

删除未使用的服务的方式因你的操作系统及其使用的程序包管理器而异。

要在 Debian / Ubuntu 上删除未使用的服务:

$ sudo apt purge <service_name>

要在 Red Hat/CentOS 上删除未使用的服务:

$ sudo yum remove <service_name>

再次运行 ss -atup 以确认这些未使用的服务没有安装和运行。

总结

本教程介绍了加固 Linux 服务器所需的最起码的措施。你应该根据服务器的使用方式启用其他安全层。这些安全层可以包括诸如各个应用程序配置、入侵检测软件(IDS)以及启用访问控制(例如,双因素身份验证)之类的东西。


via: https://opensource.com/article/19/10/linux-server-security

(0)

相关推荐

  • 使用Linux Deploy将手机做成Linux服务器

    有一部魅族Pro7,但是屏幕摔坏了,完全黑屏了,换屏幕很不划算,本身手机也值不了几个钱了.因此想废物利用一下,就把它当做一个微型服务器试试能不能用.Linux Deploy的教程网上很多,这里作为一个 ...

  • 关于Nano自带的网络接口问题

    如果是串口连接,这里会有一个16MB的flash出现 usb-dev-mode 用于 Tegra 的 Linux USB 设备模式 USB 设备模式配置脚本配置 Tegra USB 闪存端口充当USB ...

  • linux 服务器的25个强化安全提示

    Linux默认情况下是安全的,并同意进行一些扩展(这是有争议的话题).但是,默认情况下,Linux 具有内置的安全模型.需要根据你的需要对其进行调整和自定义,这可能有助于构建更安全的系统.Linux ...

  • windows的Ubuntu子系统ssh和ftp

    一般来说,对Linux的服务器,我们会使用ssh和ftp来进行交互,通常是xshell以及xftp两个软件. 但是很多时候,我们可能并没有Linux服务器,这个时候其实自己的个人电脑也可以勉强成为Li ...

  • 学会使用Fail2Ban防止破解SSH账户安全方法

    我们在选择和使用VPS.服务器之后安全都需要我们用户操心的,如果安全处理不当可能导致我们网站项目打不开或者是服务器不稳定,这里我们常用的这款Fail2Ban软件,可以防止软件破解我们的Linux服务器 ...

  • Linux系统如何关闭防火墙?方法介绍!

    防火墙是一项为了保证操作系统安全而特定的协议,虽然有的时候会给我们带来很多好处,同时有时候防火墙开启也会导致我们遇到一些麻烦,那么在Linux系统中,如何关闭防火墙? CentOS6 # 临时关闭防火 ...

  • Linux禁用root用户

    在创建各种云主机的时候,云服务商给的都是root用户,这很方便,但是有某些时候会造成一些困扰,日后在服务器上启动各种服务后,仅仅拥有root权限的用户才能访问更改这些服务,这样会造成一些不必要的困扰, ...

  • 如何在Debian镜像安装Fail2ban防火墙软件 完整配置记录

    我们很多网友在使用Linux服务器的时候,安全防御都靠外部的软件,比如CDN.WAF等第三方软件支持.但是,实际上我们也可以通过服务器自带的软防护,比如Fail2ban防火墙软件来设置提高服务器的安全 ...

  • 阿里云CentOS Linux服务器上用postfix搭建邮件服务器

    注:本文的邮件服务器只用于发送邮件,也就是STMP服务器. 一.准备工作 1. 为邮件服务器添加DNS解析 虽然不加DNS解析也能把邮件发出去,但会被大多数邮件服务器当作垃圾邮件.根据我们的实际经验, ...

  • Linux服务器部署.Net Core笔记:一、开启ssh服务

    开启ssh服务需要root权限,先用root账户登陆系统 在安装ssh前我们先更新一下yum:yum update 先检查有没有安装ssh服务:rpm -qa | grep ssh 如果没有安装ssh ...

  • Linux服务器部署.Net Core笔记:三、安装.NetCore运行环境

    Linux服务器部署.Net Core笔记:三、安装.NetCore运行环境

  • Linux服务器部署.Net Core笔记:六、安装MySQL

    接下来我们在 Centos7 系统下使用 yum 命令安装 MySQL,需要注意的是 CentOS 7 版本中 MySQL数据库已从默认的程序列表中移除,所以在安装前我们需要先去官网下载 Yum 资源 ...

  • Linux服务器部署.Net Core笔记:目录

        目录 Linux服务器部署.Net Core笔记:一.开启ssh服务 Linux服务器部署.Net Core笔记:二.安装FTP Linux服务器部署.Net Core笔记:三.安装.NetC ...

  • 干货:Linux 服务器的性能参数指标总结

    文章转自:twt企业IT社区 一个基于 Linux 操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运维人员.系统管理员会对这些数据会极为敏感,但是这些参数对于开发者来说也十分重要,尤 ...

  • Linux服务器有什么功能?Linux系统运维技巧

    Linux运维人员工作的主战场是服务器,服务器相关知识是Linux运维工作人员必须要懂得.随着技术的发展,Linux得到了强有力的技能推进,学习Linux系统技能的人们越来越多.那么对于服务器知识点来 ...

  • H3C交换机和Linux服务器网卡绑定bond对接经典配置

    交换机与Linux服务器多网卡bond模式对接 交换机多端口和服务器对接时,需要确定是否需要配置聚合或者不配置聚合,并且配置聚合的时候还需要确认是静态聚合还是动态聚合,当然这和当前服务器网卡的bond ...