|
|
51CTO旗下网站
|
|
移动端

保护Linux服务器的7个步骤

本文将向您介绍基本的Linux服务器安全保护措施,侧重于Debian/Ubuntu,但是您可以将本文介绍的所有内容应用于其他Linux发行版。

作者:张晓艺来源:IT168网站|2019-10-12 10:00

本文将向您介绍基本的Linux服务器安全保护措施,侧重于Debian/Ubuntu,但是您可以将本文介绍的所有内容应用于其他Linux发行版。

1. 更新你的服务器

要保护服务器,您应该做的第一件事是更新本地存储库,并通过应用新的补丁来升级操作系统和已安装的应用程序。

关于Ubuntu和Debian:

$ sudo apt update && sudo apt upgrade -y

在Fedora,CentOS或RHEL上:

$ sudo dnf upgrade

2. 创建一个新的特权用户帐户

接下来,创建一个新的用户帐户。永远不要以root用户身份登录服务器。相反,创建您自己的帐户(),赋予它sudo权限,并使用它登录到您的服务器。

首先创建一个新用户:

$ adduser <用户名>

通过将(-a)sudo组(-G)附加到用户的组成员身份,授予新用户帐户sudo权限:

$ usermod -a -G sudo <用户名>

3.上传您的SSH密钥

使用SSH密钥登录到新服务器。您可以使用ssh-copy-id命令将预先生成的SSH密钥上传到新服务器:

$ ssh-copy-id

@ip_address

现在,您无需输入密码即可登录新服务器。

4. 安全的SSH

接下来,进行以下三个更改:

禁用SSH密码认证

限制root远程登录

限制对IPv4或IPv6的访问

使用您选择的文本编辑器打开/ etc / ssh / sshd_config并确保以下行:

PasswordAuthentication yes

PermitRootLogin yes

像这样:

PasswordAuthentication no

PermitRootLogin no

接下来,通过修改AddressFamily选项将SSH服务限制为IPv4或IPv6 。要将其更改为仅使用IPv4(对大多数人来说应该没问题),请进行以下更改:

AddressFamily inet

重新启动SSH服务以启用您的更改。请注意,在重新启动SSH服务器之前,与服务器建立两个活动连接。有了额外的连接,您可以在重新启动出错的情况下修复所有问题。

在Ubuntu上:

$ sudo service sshd restart

在Fedora或CentOS或任何使用Systemd的系统上:

$ sudo systemctl restart sshd

5. 启用防火墙

安装防火墙,启用防火墙并对其进行配置,以仅允许您指定的网络流量。简易防火墙(UFW)是iptables的易于使用的界面,可大大简化防火墙的配置过程。

您可以通过以下方式安装UFW:

$ sudo apt install ufw

默认情况下,UFW拒绝所有传入连接,并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网,但是任何尝试访问服务器的内容都无法连接。

首先,确保您可以通过启用对SSH、HTTP和HTTPS的访问来登录:

$ sudo ufw allow ssh

$ sudo ufw allow http

$ sudo ufw allow https

然后启用UFW:

$ sudo ufw enable

您可以通过以下方式查看允许和拒绝哪些服务:

$ sudo ufw status

如果您想禁用UFW,可以通过键入以下内容来禁用:

$ sudo ufw disable

您也可以使用firewall-cmd,它已经安装并集成到某些发行版中。

6. 安装Fail2ban

Fail2ban是一个用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何内容,它将更改防火墙以永久地或在指定的时间内阻止攻击者的IP地址。

您可以通过键入以下内容来安装Fail2ban:

$ sudo apt install fail2ban -y

然后复制随附的配置文件:

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

并重新启动Fail2ban:

$ sudo service fail2ban restart

该软件将不断检查日志文件以查找攻击。一段时间后,该应用程序将建立很多的禁止IP地址列表。您可以通过以下方法请求SSH服务的当前状态来查看此列表:

$ sudo fail2ban-client status ssh

7.删除未使用的面向网络的服务

几乎所有Linux服务器操作系统都启用了一些面向网络的服务。可能您希望保留其中大多数,但是,需要删除一些内容。您可以使用ss命令查看所有正在运行的网络服务:

$ sudo ss -atpu

ss的输出将取决于您的操作系统。这是您可能看到的示例。它显示SSH(sshd)和Ngnix(nginx)服务正在侦听并准备连接:

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))

tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

删除未使用的服务("")的方式将因您的操作系统及其使用的程序包管理器而异。

要删除Debian / Ubuntu上未使用的服务:

$ sudo apt purge

要在Red Hat / CentOS上删除未使用的服务:

$ sudo yum remove

再次运行ss -atup以确认不再安装和运行未使用的服务。

本文介绍了保护Linux服务器的一些基本步骤。您还可以根据使用服务器的方式,启用其他安全方法,包括单个应用程序配置、入侵检测软件以及启用访问控制(例如,双重身份验证)等功能。

【编辑推荐】

  1. 一文读懂客户端请求是如何到达服务器的
  2. 无服务器架构安全面面观
  3. 老牌运维教你如何快速分析Linux服务器的性能问题
  4. 学 Java 网络爬虫,需要哪些基础知识?
  5. 一文读懂Tomcat组件--一个Web服务器的架构演化史
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

CentOS 8 全新学习术

CentOS 8 全新学习术

CentOS 8 正式发布
共16章 | UbuntuServer

107人订阅学习

用Python玩转excel

用Python玩转excel

让重复操作傻瓜化
共3章 | DE8UG

202人订阅学习

AI入门级算法

AI入门级算法

算法常识
共22章 | 周萝卜123

165人订阅学习

读 书 +更多

Eclipse从入门到精通(第2版)

本书为《Eclipse从入门到精通》一书的全新改版。本书以最新的Eclipse 3.2作为写作版本。全书分为5篇:起步篇介绍了Eclipse及相关插件的安装...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微