Linux服務器加固的基本步驟詳解

如果默認情況下 netstat 沒有包含在你的 Linux 發行版中，請安裝軟件包 net-tools 或使用 ss -tulpn命令。

以下是 netstat 的輸出示例。 請注意，因為默認情況下不同發行版會運行不同的服務，你的輸出將有所不同：

netstat 告訴我們服務正在運行 RPC(rpc.statd 和 rpcbind)、SSH(sshd)、NTPdate(ntpd)和Exim(exim4)。

TCP

請參閱 netstat 輸出的 Local Address 那一列。進程 rpcbind 正在偵聽 0.0.0.0:111 和 :::111，外部地址是 0.0.0.0:* 或者 :::* 。這意味著它從任何端口和任何網絡接口接受來自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶端的傳入 TCP 連接。 我們看到類似的 SSH，Exim 正在偵聽來自回環接口的流量，如所示的 127.0.0.1 地址。

UDP

UDP 套接字是無狀態的，這意味著它們只有打開或關閉，并且每個進程的連接是獨立于前后發生的連接。這與 TCP 的連接狀態(例如 LISTEN、ESTABLISHED和 CLOSE_WAIT)形成對比。

我們的 netstat輸出說明 NTPdate ：1)接受服務器的公網 IP 地址的傳入連接;2)通過本地主機進行通信;3)接受來自外部的連接。這些連接是通過端口 123 進行的，同時支持 IPv4 和 IPv6。我們還看到了 RPC 打開的更多的套接字。

查明該移除哪個服務

如果你在沒有啟用防火墻的情況下對服務器進行基本的 TCP 和 UDP 的 nmap 掃描，那么在打開端口的結果中將出現 SSH、RPC 和 NTPdate 。通過配置防火墻，你可以過濾掉這些端口，但 SSH 除外，因為它必須允許你的傳入連接。但是，理想情況下，應該禁用未使用的服務。

你可能主要通過 SSH 連接管理你的服務器，所以讓這個服務需要保留。如上所述，RSA 密鑰和 Fail2Ban 可以幫助你保護 SSH。

NTP 是服務器計時所必需的，但有個替代 NTPdate 的方法。如果你喜歡不開放網絡端口的時間同步方法，并且你不需要納秒精度，那么你可能有興趣用 OpenNTPD 來代替 NTPdate。

然而，Exim 和 RPC 是不必要的，除非你有特定的用途，否則應該刪除它們。

本節針對 Debian 8。默認情況下，不同的 Linux 發行版具有不同的服務。如果你不確定某項服務的功能，請嘗試搜索互聯網以了解該功能是什么，然后再嘗試刪除或禁用它。

卸載監聽的服務

如何移除包取決于發行版的包管理器：

Arch

CentOS

Debian / Ubuntu

Fedora

再次運行 sudo netstat -tulpn，你看到監聽的服務就只會有 SSH(sshd)和 NTP(ntpdate，網絡時間協議)。

配置防火墻

使用防火墻阻止不需要的入站流量能為你的服務器提供一個高效的安全層。 通過指定入站流量，你可以阻止入侵和網絡測繪。 最佳做法是只允許你需要的流量，并拒絕一切其他流量。請參閱我們的一些關于最常見的防火墻程序的文檔：

iptables 是 netfilter 的控制器，它是 Linux 內核的包過濾框架。 默認情況下，iptables 包含在大多數 Linux 發行版中。

firewallD 是可用于 CentOS/Fedora 系列發行版的 iptables 控制器。

UFW 為 Debian 和 Ubuntu 提供了一個 iptables 前端。

接下來

這些是加固 Linux 服務器的最基本步驟，但是進一步的安全層將取決于其預期用途。 其他技術可以包括應用程序配置，使用入侵檢測或者安裝某個形式的訪問控制。

現在你可以按你的需求開始設置你的服務器了。