? 上一篇下一篇 ?

七個步驟可以更加好的保護你的Linux 服務器

   當談到不同版本的操作系統時,Linux在市場上的地位是不言而喻的。其實,在服務器市場,Linux同樣占有不容忽視的地位。由于其穩定性,安全性,自由度和硬件支持等許多無與倫比的優勢Linux系統的服務器作為相對比較安全的系統來說,現在是越來越受歡迎,這篇文章介紹基本的 Linux 服務器安全知識。雖然主要針對 Debian/Ubuntu,但是你可以將此處介紹的所有內容應用于其他 Linux 發行版。我也鼓勵你研究這份材料,并在適用的情況下進行擴展。

1、更新你的服務器

保護服務器安全的第一件事是更新本地存儲庫,并通過應用最新的修補程序來升級操作系統和已安裝的應用程序。

在 Ubuntu 和 Debian 上:

  1. $ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL:

  1. $ sudo dnf upgrade

2、創建一個新的特權用戶

接下來,創建一個新的用戶帳戶。永遠不要以 root 身份登錄服務器,而是創建你自己的帳戶(用戶),賦予它 sudo 權限,然后使用它登錄你的服務器。

首先創建一個新用戶:

  1. $ adduser <username>

通過將 sudo 組(-G)附加(-a)到用戶的組成員身份里,從而授予新用戶帳戶 sudo 權限:

  1. $ usermod -a -G sudo <username>

3、上傳你的 SSH 密鑰

你應該使用 SSH 密鑰登錄到新服務器。你可以使用 ssh-copy-id 命令將預生成的 SSH 密鑰上傳到你的新服務器:

  1. $ ssh-copy-id <username>@ip_address

現在,你無需輸入密碼即可登錄到新服務器。

4、安全強化 SSH

接下來,進行以下三個更改:

  • 禁用 SSH 密碼認證

  • 限制 root 遠程登錄

  • 限制對 IPv4 或 IPv6 的訪問

使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 并確保以下行:

  1. PasswordAuthentication yes

  2. PermitRootLogin yes

改成這樣:

  1. PasswordAuthentication no

  2. PermitRootLogin no

接下來,通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4(對大多數人來說應該沒問題),請進行以下更改:

  1. AddressFamily inet

重新啟動 SSH 服務以啟用你的更改。請注意,在重新啟動 SSH 服務之前,與服務器建立兩個活動連接是一個好主意。有了這些額外的連接,你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。

在 Ubuntu 上:

  1. $ sudo service sshd restart

在 Fedora 或 CentOS 或任何使用 Systemd 的系統上:

  1. $ sudo systemctl restart sshd

5、啟用防火墻

現在,你需要安裝防火墻、啟用防火墻并對其進行配置,以僅允許你指定的網絡流量通過。(Ubuntu 上的)簡單的防火墻(UFW)是一個易用的 iptables 界面,可大大簡化防火墻的配置過程。

你可以通過以下方式安裝 UFW:

  1. $ sudo apt install ufw

默認情況下,UFW 拒絕所有傳入連接,并允許所有傳出連接。這意味著服務器上的任何應用程序都可以訪問互聯網,但是任何嘗試訪問服務器的內容都無法連接。

首先,確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄:

  1. $ sudo ufw allow ssh

  2. $ sudo ufw allow http

  3. $ sudo ufw allow https

然后啟用 UFW:

  1. $ sudo ufw enable

你可以通過以下方式查看允許和拒絕了哪些服務:

  1. $ sudo ufw status

如果你想禁用 UFW,可以通過鍵入以下命令來禁用:

  1. $ sudo ufw disable

你還可以(在 RHEL/CentOS 上)使用 firewall-cmd,它已經安裝并集成到某些發行版中。

6、安裝 Fail2ban

Fail2ban 是一種用于檢查服務器日志以查找重復或自動攻擊的應用程序。如果找到任何攻擊,它會更改防火墻以永久地或在指定的時間內阻止攻擊者的 IP 地址。

你可以通過鍵入以下命令來安裝 Fail2ban:

  1. $ sudo apt install fail2ban -y

然后復制隨附的配置文件:

  1. $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

重啟 Fail2ban:

  1. $ sudo service fail2ban restart

這樣就行了。該軟件將不斷檢查日志文件以查找攻擊。一段時間后,該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表:

  1. $ sudo fail2ban-client status ssh

7、移除無用的網絡服務

幾乎所有 Linux 服務器操作系統都啟用了一些面向網絡的服務。你可能希望保留其中大多數,然而,有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網絡服務:(LCTT 譯注:應該是只保留少部分,而所有確認無關的、無用的服務都應該停用或刪除。)

  1. $ sudo ss -atpu

ss 的輸出取決于你的操作系統。下面是一個示例,它顯示 SSH(sshd)和 Ngnix(nginx)服務正在偵聽網絡并準備連接:

  1. tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))

  2. tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。

要在 Debian / Ubuntu 上刪除未使用的服務:

  1. $ sudo apt purge <service_name>

要在 Red Hat/CentOS 上刪除未使用的服務:

  1. $ sudo yum remove <service_name>

再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。

總結

  本教程介紹了加固 Linux 服務器所需的最起碼的措施。你應該根據服務器的使用方式啟用其他安全層。這些安全層可以包括諸如各個應用程序配置、入侵檢測軟件(IDS)以及啟用訪問控制(例如,雙因素身份驗證)之類的東西。

  定期進行安全檢查
    要保障網絡的安全,這最后一個步驟可能是最為重要的。這時,您扮演一個反派的角色,努力攻破您在前面六個步驟是建立的防御。這樣做可以直接客觀地對系統的安全性進行評估,并確定您應該修復的潛在缺陷。
    有許多工具可幫助您進行這種檢查:您可以嘗試用Crack和John the Ripper之類的密碼破解器破譯您的密碼文件;或使用nmap或 netstat來尋找開放的端口;還可以使用tcpdump探測網絡;另外,您還可以利用您所安裝的程序(網絡服務器、防火墻、Samba)上的公開漏洞,看看能否找到進入的方法。如果您設法找到了突破障礙的辦法,其他人同樣也能做到,您應立即采取行動關閉這些漏洞。
    保護Linux系統是一項長期的任務,完成上述步驟并不表示您可以高枕無憂。訪問Linux安全論壇了解更多安全提示,同時主動監控并更新系統安全措施。