色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Linux服務器加固的基本步驟詳解

馬哥Linux運維 ? 2017-12-04 14:16 ? 次閱讀

-經常升級系統00%

-自動安全更新02%

-添加一個受限用戶賬戶07%

-CentOS / Fedora11%

-Ubuntu13%

-Debian15%

-加固 SSH 訪問21%

-創建驗證密鑰對23%

-SSH 守護進程選項43%

-使用 Fail2Ban 保護 SSH 登錄54%

-刪除未使用的面向網絡的服務58%

-查明運行的服務59%

-查明該移除哪個服務80%

-卸載監聽的服務87%

-配置防火墻90%

-接下來95%

現在讓我們強化你的服務器以防止未授權訪問。

經常升級系統

將軟件更新到最新版本通常是任何操作系統所必需的安全預防措施。軟件在更新時通常會在大到關鍵漏洞補丁、小到bug修復的范圍內進行,很多漏洞實際上在被公布時就已經被修復了。

自動安全更新

你可以調節服務器關于自動更新的的參數。Fedora 的 Wiki頁面上有一篇文章對自動更新進行了深入解讀,文章里提到我們可以通過調整參數為安全更新會把自動更新的風險降低至最少。

當然,是否選擇自動更新必須由你自己決定,因為這取決于你將要在你的服務器上進行何種工作。自動更新只能通過倉庫里的包才能進行,你自己編譯的程序可不能用。你會需要一個與生產環境一致的測試環境,在進行最終部署之前,一定要在測試環境確認無誤才行。

CentOS 使用 yum-cron進行自動更新。

Debian 和 Ubuntu 使用 無人值守更新。

Fedora 使用 dnf-automatic

添加一個受限用戶賬戶

我們假定你已經使用root權限進入了服務器中,你此時擁有服務器的至高權限,一個不小心就會把服務器搞癱瘓。所以,你應該有一個受限制賬戶而不是一直使用root賬戶。這不會給你的操作帶來多大麻煩,因為你可以通過sudo來進行任何你想要的操作。

有的發行版可能并不把sudo設為默認選項,不過你還是可以在軟件包倉庫中找到。如果你獲得的提示是sudo:command not found,請在繼續之前安裝sudo。

記住,添加新用戶你要通過 SSH 登錄服務器才行。

CentOS / Fedora

1、 創建用戶,用你想要的名字替換example_user,并分配一個密碼:

2、 將用戶添加到具有 sudo 權限的wheel組:

Ubuntu

1、 創建用戶,用你想要的名字替換example_user。你將被要求輸入用戶密碼:

2、 添加用戶到sudo組,這樣你就有管理員權限了:

Debian

1、 Debian 默認的包中沒有sudo, 使用apt-get來安裝:

2、 創建用戶,用你想要的名字替換example_user。你將被要求輸入用戶密碼:

3、 添加用戶到sudo組,這樣你就有管理員權限了:

創建完有限權限的用戶后,斷開你的服務器連接:

重新用你的新用戶登錄。用你的用戶名代替example_user,用你的服務器 IP 地址代替例子中的 IP 地址:

現在你可以用你的新用戶帳戶管理你的服務器,而不是root。 幾乎所有超級用戶命令都可以用sudo(例如:sudo iptables -L -nv)來執行,這些命令將被記錄到/var/log/auth.log中。

加固 SSH 訪問

你可以使用密碼認證登錄服務器。但是更安全的方法是通過加密的密鑰對。你將徹底放棄密碼,用私鑰可以防止暴力破解。我們將告訴你如何創建密鑰對。

創建驗證密鑰對

1、創建密鑰對可以在你自己的電腦上完成,現在我們開始創建一個 4096 位的 RSA 密鑰對。即使有了密鑰,你仍然可以通過密碼方式加密你的私鑰,這樣除非你把密碼存在密鑰管理器里,不然就必須通過輸入正確的密碼使用你的私鑰。用了密碼能有一個雙重保險,不想用的話你直接把密碼字段留空就可以了。

Linux / OS X

現在我們開始第一步,請注意:如果你之前已經創建過 RSA 密鑰對,則這個命令將會覆蓋它,帶來的結果很可能是你不能訪問其它的操作系統。如果你已創建過密鑰對,請跳過此步驟。要檢查現有的密鑰,請運行ls?/ .ssh / id_rsa *。

在輸入密碼之前,按下回車使用/home/your_username/.ssh中的默認名稱id_rsa和id_rsa.pub。

Windows

這可以使用 PuTTY 完成,在我們指南中已有描述:使用 SSH 公鑰驗證。

2、將公鑰上傳到您的服務器上。 將example_user替換為你用來管理服務器的用戶名稱,將203.0.113.10替換為你的服務器的 IP 地址。

Linux

在本機上:

OS X

在你的服務器上(用你的權限受限用戶登錄):

在本機上:

如果相對于scp你更喜歡ssh-copy-id的話,那么它也可以在 Hemebrew 中找到。使用brew install ssh-copy-id安裝。

Windows

選擇 1:使用 WinSCP來完成。 在登錄窗口中,輸入你的服務器的 IP 地址作為主機名,以及非 root 的用戶名和密碼。單擊“登錄”連接。

一旦 WinSCP 連接后,你會看到兩個主要部分。 左邊顯示本機上的文件,右邊顯示服務區上的文件。 使用左側的文件瀏覽器,導航到你已保存公鑰的文件,選擇公鑰文件,然后點擊上面工具欄中的“上傳”。

系統會提示你輸入要將文件放在服務器上的路徑。 將文件上傳到/home/example_user/.ssh /authorized_keys,用你的用戶名替換example_user。

選擇 2:將公鑰直接從 PuTTY 鍵生成器復制到連接到你的服務器中(作為非 root 用戶):

上面命令將在文本編輯器中打開一個名為authorized_keys的空文件。 將公鑰復制到文本文件中,確保復制為一行,與 PuTTY 所生成的完全一樣。 按下CTRL + X,然后按下Y,然后回車保存文件。

最后,你需要為公鑰目錄和密鑰文件本身設置權限:

這些命令通過阻止其他用戶訪問公鑰目錄以及文件本身來提供額外的安全性。有關它如何工作的更多信息,請參閱我們的指南如何修改文件權限。

3、 現在退出并重新登錄你的服務器。如果你為私鑰指定了密碼,則需要輸入密碼。

SSH 守護進程選項

1、不允許 root 用戶通過 SSH 登錄。這要求所有的 SSH 連接都是通過非 root 用戶進行。當以受限用戶帳戶連接后,可以通過使用sudo或使用su -切換為 root shell 來使用管理員權限。

2、禁用 SSH 密碼認證。這要求所有通過 SSH 連接的用戶使用密鑰認證。根據 Linux 發行版的不同,它可能需要添加PasswordAuthentication這行,或者刪除前面的#來取消注釋。

如果你從許多不同的計算機連接到服務器,你可能想要繼續啟用密碼驗證。這將允許你使用密碼進行身份驗證,而不是為每個設備生成和上傳密鑰對。

3、只監聽一個互聯網協議。在默認情況下,SSH 守護進程同時監聽 IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協議進入你的服務器,否則就禁用你不需要的。這不會禁用系統范圍的協議,它只用于 SSH 守護進程。

使用選項:

AddressFamily inet只監聽 IPv4。

AddressFamily inet6只監聽 IPv6。

默認情況下,AddressFamily選項通常不在sshd_config文件中。將它添加到文件的末尾:

4、 重新啟動 SSH 服務以加載新配置。

如果你使用的 Linux 發行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)

如果您的 init 系統是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04):

使用 Fail2Ban 保護 SSH 登錄

Fail2Ban是一個應用程序,會把頻繁出現登陸失敗的IP地址進行自動封禁。一般情況下,人們都不會連續三次以上輸錯密碼(如果使用 SSH 密鑰,那不會超過一個),因此如果服務器充滿了登錄失敗的請求那就表示有惡意訪問。

這個軟件的監聽范圍很廣,包括我們熟知的 SSH、HHTP或者SMTP。不過在默認僅監視 SSH,并且因為 SSH 守護程序通常配置為持續運行并監聽來自任何遠程 IP 地址的連接,所以對于任何服務器都是一種安全威懾。

刪除未使用的面向網絡的服務

大部分 Linux 發行版都可以使用網絡服務,你可以選擇把不再需要的那部分刪除掉,這樣可以減少被攻擊的概率。

查明運行的服務

要查看服務器中運行的服務:

如果默認情況下netstat沒有包含在你的 Linux 發行版中,請安裝軟件包net-tools或使用ss -tulpn命令。

以下是netstat的輸出示例。 請注意,因為默認情況下不同發行版會運行不同的服務,你的輸出將有所不同:

netstat告訴我們服務正在運行 RPC(rpc.statd和rpcbind)、SSH(sshd)、NTPdate(ntpd)和Exim(exim4)。

TCP

請參閱netstat輸出的Local Address那一列。進程rpcbind正在偵聽0.0.0.0:111和:::111,外部地址是0.0.0.0:*或者:::*。這意味著它從任何端口和任何網絡接口接受來自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶端的傳入 TCP 連接。 我們看到類似的 SSH,Exim 正在偵聽來自回環接口的流量,如所示的127.0.0.1地址。

UDP

UDP 套接字是無狀態的,這意味著它們只有打開或關閉,并且每個進程的連接是獨立于前后發生的連接。這與 TCP 的連接狀態(例如LISTEN、ESTABLISHED和CLOSE_WAIT)形成對比。

我們的netstat輸出說明 NTPdate :1)接受服務器的公網 IP 地址的傳入連接;2)通過本地主機進行通信;3)接受來自外部的連接。這些連接是通過端口 123 進行的,同時支持 IPv4 和 IPv6。我們還看到了 RPC 打開的更多的套接字。

查明該移除哪個服務

如果你在沒有啟用防火墻的情況下對服務器進行基本的 TCP 和 UDP 的 nmap掃描,那么在打開端口的結果中將出現 SSH、RPC 和 NTPdate 。通過配置防火墻,你可以過濾掉這些端口,但 SSH 除外,因為它必須允許你的傳入連接。但是,理想情況下,應該禁用未使用的服務。

你可能主要通過 SSH 連接管理你的服務器,所以讓這個服務需要保留。如上所述,RSA 密鑰和 Fail2Ban 可以幫助你保護 SSH。

NTP 是服務器計時所必需的,但有個替代 NTPdate 的方法。如果你喜歡不開放網絡端口的時間同步方法,并且你不需要納秒精度,那么你可能有興趣用 OpenNTPD來代替 NTPdate。

然而,Exim 和 RPC 是不必要的,除非你有特定的用途,否則應該刪除它們。

本節針對 Debian 8。默認情況下,不同的 Linux 發行版具有不同的服務。如果你不確定某項服務的功能,請嘗試搜索互聯網以了解該功能是什么,然后再嘗試刪除或禁用它。

卸載監聽的服務

如何移除包取決于發行版的包管理器:

Arch

CentOS

Debian / Ubuntu

Fedora

再次運行sudo netstat -tulpn,你看到監聽的服務就只會有 SSH(sshd)和 NTP(ntpdate,網絡時間協議)。

配置防火墻

使用防火墻阻止不需要的入站流量能為你的服務器提供一個高效的安全層。 通過指定入站流量,你可以阻止入侵和網絡測繪。 最佳做法是只允許你需要的流量,并拒絕一切其他流量。請參閱我們的一些關于最常見的防火墻程序的文檔:

iptables 是 netfilter 的控制器,它是 Linux 內核的包過濾框架。 默認情況下,iptables 包含在大多數 Linux 發行版中。

firewallD 是可用于 CentOS/Fedora 系列發行版的 iptables 控制器。

UFW 為 Debian 和 Ubuntu 提供了一個 iptables 前端。

接下來

這些是加固 Linux 服務器的最基本步驟,但是進一步的安全層將取決于其預期用途。 其他技術可以包括應用程序配置,使用入侵檢測或者安裝某個形式的訪問控制。

現在你可以按你的需求開始設置你的服務器了。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11319

    瀏覽量

    209830

原文標題:Linux 服務器安全簡明指南

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    linux服務器和windows服務器

    Linux服務器和Windows服務器是目前應用最廣泛的兩種服務器操作系統。兩者各有優劣,也適用于不同的應用場景。本文將 對Linux
    發表于 02-22 15:46

    為你的 Linux 服務器加把鎖

    無論你使用的哪種 Linux 發行版,你都需要使用基于 iptables 的防火墻來保護它。啊哈!你已經設置好了你的第一臺 Linux 服務器并且已經準備發車了!是么?嗯,慢著。默認情況下,你
    發表于 12-31 11:01

    Linux下視頻流媒體直播服務器搭建詳解

    目標: 搭建網絡直播流媒體服務器系統(Linux操作系統) 背景:用于OTT-TV大并發的直播和點播的一套流媒體服務器系統。支持N x 24小時錄制回看和直播的服務器端解決方案。 解
    發表于 06-02 14:35

    linux服務器性能測試步驟

    linux服務器性能測試-服務器實時【磁盤】監控
    發表于 06-02 06:54

    加固基于Windows 2003平臺的WEB服務器

    加固基于Windows 2003平臺的WEB服務器 基于Windows平臺下IIS運行的網站總給人一種感覺就是脆弱。早期的IIS確實存在很多問題,不過我個人認為自從Windows
    發表于 01-29 11:14 ?327次閱讀

    Linux服務器安全策略詳解

    Linux服務器領域已經非常成熟,其影響力日趨增大。Linux的網絡服務功能非常強大,但是由于Linux的桌面應用和Windows相比還有
    發表于 04-19 22:14 ?33次下載

    教你linux搭建web服務器

    教你linux搭建web服務器和大家分享了一份配置文檔,希望對您用linux搭建web服務器有所啟發。
    發表于 12-28 14:18 ?8883次閱讀

    基于Linux系統的FTP服務器的實現

    為了在Linux系統下實現安全、高效的FTP服務器,選擇了具有小巧輕快、安全易用等優點的服務器軟件vsftpd。通過對Linux平臺下FTP網絡服務
    發表于 07-24 15:36 ?39次下載

    linux如何搭建web服務器

    linux搭建web服務器流程如下
    發表于 06-08 09:09 ?9282次閱讀
    <b class='flag-5'>linux</b>如何搭建web<b class='flag-5'>服務器</b>

    如何在linux服務器中打開端口

    有時我們可能需要在Linux服務器中打開端口或在Linux服務器的防火墻中啟用端口來運行特定的應用程序。在本文中,小編將帶大家分析一下如何在linu
    的頭像 發表于 10-17 16:22 ?1.2w次閱讀

    如何使用Checkmk監控Linux服務器

    `Checkmk` 是用于監控 Linux 服務器的最常用和用戶友好的應用程序之一。它可以檢查與您的 Linux 服務器連接的服務器狀態、負
    的頭像 發表于 02-17 10:46 ?1248次閱讀
    如何使用Checkmk監控<b class='flag-5'>Linux</b><b class='flag-5'>服務器</b>?

    服務器安全加固步驟

    以下是服務器安全加固步驟,本文以騰訊云的CentOS7.7版本為例來介紹,如果你使用的是秘鑰登錄服務器1-5步驟可以跳過。 設置復雜密碼
    的頭像 發表于 06-19 09:58 ?608次閱讀
    <b class='flag-5'>服務器</b>安全<b class='flag-5'>加固</b>的<b class='flag-5'>步驟</b>

    PLC網關采集西門子S7-1200對接MQTT服務器的操作步驟詳解

    鋇錸技術PLC網關采集西門子S7-1200對接MQTT服務器的操作步驟詳解
    的頭像 發表于 09-12 09:50 ?3264次閱讀
    PLC網關采集西門子S7-1200對接MQTT<b class='flag-5'>服務器</b>的操作<b class='flag-5'>步驟</b><b class='flag-5'>詳解</b>

    搭建ftp服務器步驟

    搭建ftp服務器步驟? 搭建FTP服務器是一項需要一定技術知識的任務,但是只要按照以下步驟進行操作,您就能成功搭建自己的FTP服務器。 1
    的頭像 發表于 12-07 16:32 ?1186次閱讀

    如何在Linux系統上設置站群服務器IP地址

    Linux系統上設置站群服務器的IP地址,可以通過以下步驟進行,主機推薦小編為您整理發布如何在Linux系統上設置站群服務器IP地址。
    的頭像 發表于 12-11 10:05 ?188次閱讀
    主站蜘蛛池模板: 美女扒开尿口直播| 红豆视频免费资源观看| 成人免费肉动漫无遮网站| 久久大香萑太香蕉av| 久久国内精品视频| 小寡妇好紧进去了好大看视频 | 97国产视频| 精品国产露脸久久AV麻豆| 午夜婷婷一夜七次郎| 在镜头里被CAO翻了H| 国产亚洲精品福利视频| 午夜福利理论片在线播放| 国产精品黄色大片| 久久伊人中文字幕有码| 一本大道无码AV天堂欧美| 黑人操白逼| 伊在香蕉国产在线视频| 久久久GOGO无码啪啪艺术| 伊人伊人伊人| 内射白嫩少妇超碰| 白嫩美女直冒白浆| 日日撸影院在线| 国产99精品视频一区二区三区| 日韩成人在线视频| 国产精品成人在线播放| 亚洲AV 日韩 国产 有码| 黄色三级图片| 最近中文字幕2018MV高清在线| 麻豆国产人妻欲求不满| free高跟丝袜秘书hd| 色狠狠色综合吹潮| 国产在线精品亚洲二品区| 伊人久久国产精品| 欧美 国产 日产 韩国 在线| 成人18视频在线| 亚洲薄码区| 美女漏bb| 国产成人 免费观看| 亚洲免费每日在线观看| 蜜桃久久久亚洲精品成人| 成年人视频在线免费|