Linux服務(wù)器加固的基本步驟詳解

-經(jīng)常升級(jí)系統(tǒng)00%

-自動(dòng)安全更新02%

-添加一個(gè)受限用戶(hù)賬戶(hù)07%

-CentOS / Fedora11%

-Ubuntu13%

-Debian15%

-加固 SSH 訪問(wèn)21%

-創(chuàng)建驗(yàn)證密鑰對(duì)23%

-SSH 守護(hù)進(jìn)程選項(xiàng)43%

-使用 Fail2Ban 保護(hù) SSH 登錄54%

-刪除未使用的面向網(wǎng)絡(luò)的服務(wù)58%

-查明運(yùn)行的服務(wù)59%

-查明該移除哪個(gè)服務(wù)80%

-卸載監(jiān)聽(tīng)的服務(wù)87%

-配置防火墻90%

-接下來(lái)95%

現(xiàn)在讓我們強(qiáng)化你的服務(wù)器以防止未授權(quán)訪問(wèn)。

經(jīng)常升級(jí)系統(tǒng)

將軟件更新到最新版本通常是任何操作系統(tǒng)所必需的安全預(yù)防措施。軟件在更新時(shí)通常會(huì)在大到關(guān)鍵漏洞補(bǔ)丁、小到bug修復(fù)的范圍內(nèi)進(jìn)行，很多漏洞實(shí)際上在被公布時(shí)就已經(jīng)被修復(fù)了。

自動(dòng)安全更新

你可以調(diào)節(jié)服務(wù)器關(guān)于自動(dòng)更新的的參數(shù)。Fedora 的 Wiki頁(yè)面上有一篇文章對(duì)自動(dòng)更新進(jìn)行了深入解讀，文章里提到我們可以通過(guò)調(diào)整參數(shù)為安全更新會(huì)把自動(dòng)更新的風(fēng)險(xiǎn)降低至最少。

當(dāng)然，是否選擇自動(dòng)更新必須由你自己決定，因?yàn)檫@取決于你將要在你的服務(wù)器上進(jìn)行何種工作。自動(dòng)更新只能通過(guò)倉(cāng)庫(kù)里的包才能進(jìn)行，你自己編譯的程序可不能用。你會(huì)需要一個(gè)與生產(chǎn)環(huán)境一致的測(cè)試環(huán)境，在進(jìn)行最終部署之前，一定要在測(cè)試環(huán)境確認(rèn)無(wú)誤才行。

CentOS 使用 yum-cron 進(jìn)行自動(dòng)更新。

Debian 和 Ubuntu 使用 無(wú)人值守更新。

Fedora 使用 dnf-automatic 。

添加一個(gè)受限用戶(hù)賬戶(hù)

我們假定你已經(jīng)使用 root 權(quán)限進(jìn)入了服務(wù)器中，你此時(shí)擁有服務(wù)器的至高權(quán)限，一個(gè)不小心就會(huì)把服務(wù)器搞癱瘓。所以，你應(yīng)該有一個(gè)受限制賬戶(hù)而不是一直使用 root 賬戶(hù)。這不會(huì)給你的操作帶來(lái)多大麻煩，因?yàn)槟憧梢酝ㄟ^(guò) sudo來(lái)進(jìn)行任何你想要的操作。

有的發(fā)行版可能并不把 sudo設(shè)為默認(rèn)選項(xiàng)，不過(guò)你還是可以在軟件包倉(cāng)庫(kù)中找到。如果你獲得的提示是 sudo：command not found，請(qǐng)?jiān)诶^續(xù)之前安裝 sudo。

記住，添加新用戶(hù)你要通過(guò) SSH 登錄服務(wù)器才行。

CentOS / Fedora

1、 創(chuàng)建用戶(hù)，用你想要的名字替換 example_user，并分配一個(gè)密碼：

2、 將用戶(hù)添加到具有 sudo 權(quán)限的 wheel 組：

Ubuntu

1、 創(chuàng)建用戶(hù)，用你想要的名字替換 example_user。你將被要求輸入用戶(hù)密碼：

2、 添加用戶(hù)到 sudo 組，這樣你就有管理員權(quán)限了：

Debian

1、 Debian 默認(rèn)的包中沒(méi)有 sudo， 使用 apt-get 來(lái)安裝：

2、 創(chuàng)建用戶(hù)，用你想要的名字替換 example_user。你將被要求輸入用戶(hù)密碼：

3、 添加用戶(hù)到 sudo 組，這樣你就有管理員權(quán)限了：

創(chuàng)建完有限權(quán)限的用戶(hù)后，斷開(kāi)你的服務(wù)器連接：

重新用你的新用戶(hù)登錄。用你的用戶(hù)名代替 example_user，用你的服務(wù)器 IP 地址代替例子中的 IP 地址：

現(xiàn)在你可以用你的新用戶(hù)帳戶(hù)管理你的服務(wù)器，而不是 root。 幾乎所有超級(jí)用戶(hù)命令都可以用 sudo(例如：sudo iptables -L -nv)來(lái)執(zhí)行，這些命令將被記錄到 /var/log/auth.log中。

加固 SSH 訪問(wèn)

你可以使用密碼認(rèn)證登錄服務(wù)器。但是更安全的方法是通過(guò)加密的密鑰對(duì)。你將徹底放棄密碼，用私鑰可以防止暴力破解。我們將告訴你如何創(chuàng)建密鑰對(duì)。

創(chuàng)建驗(yàn)證密鑰對(duì)

1、創(chuàng)建密鑰對(duì)可以在你自己的電腦上完成，現(xiàn)在我們開(kāi)始創(chuàng)建一個(gè) 4096 位的 RSA 密鑰對(duì)。即使有了密鑰，你仍然可以通過(guò)密碼方式加密你的私鑰，這樣除非你把密碼存在密鑰管理器里，不然就必須通過(guò)輸入正確的密碼使用你的私鑰。用了密碼能有一個(gè)雙重保險(xiǎn)，不想用的話你直接把密碼字段留空就可以了。

Linux / OS X

現(xiàn)在我們開(kāi)始第一步，請(qǐng)注意：如果你之前已經(jīng)創(chuàng)建過(guò) RSA 密鑰對(duì)，則這個(gè)命令將會(huì)覆蓋它，帶來(lái)的結(jié)果很可能是你不能訪問(wèn)其它的操作系統(tǒng)。如果你已創(chuàng)建過(guò)密鑰對(duì)，請(qǐng)?zhí)^(guò)此步驟。要檢查現(xiàn)有的密鑰，請(qǐng)運(yùn)行 ls/ .ssh / id_rsa *。

上一頁(yè) 1 2 3 下一頁(yè)