新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計應(yīng)用 > Linux服務(wù)器加固的基本步驟詳解

Linux服務(wù)器加固的基本步驟詳解

作者: 時間:2018-09-13 來源:網(wǎng)絡(luò) 收藏

-經(jīng)常升級系統(tǒng)00%

本文引用地址:http://butianyuan.cn/article/201809/389050.htm

-自動安全更新02%

-添加一個受限用戶賬戶07%

-CentOS / Fedora11%

-Ubuntu13%

-Debian15%

-加固 SSH 訪問21%

-創(chuàng)建驗證密鑰對23%

-SSH 守護進程選項43%

-使用 Fail2Ban 保護 SSH 登錄54%

-刪除未使用的面向網(wǎng)絡(luò)的服務(wù)58%

-查明運行的服務(wù)59%

-查明該移除哪個服務(wù)80%

-卸載監(jiān)聽的服務(wù)87%

-配置防火墻90%

-接下來95%

現(xiàn)在讓我們強化你的服務(wù)器以防止未授權(quán)訪問。

經(jīng)常升級系統(tǒng)

將軟件更新到最新版本通常是任何操作系統(tǒng)所必需的安全預(yù)防措施。軟件在更新時通常會在大到關(guān)鍵漏洞補丁、小到bug修復(fù)的范圍內(nèi)進行,很多漏洞實際上在被公布時就已經(jīng)被修復(fù)了。

自動安全更新

你可以調(diào)節(jié)服務(wù)器關(guān)于自動更新的的參數(shù)。Fedora 的 Wiki頁面上有一篇文章對自動更新進行了深入解讀,文章里提到我們可以通過調(diào)整參數(shù)為安全更新會把自動更新的風險降低至最少。

當然,是否選擇自動更新必須由你自己決定,因為這取決于你將要在你的服務(wù)器上進行何種工作。自動更新只能通過倉庫里的包才能進行,你自己編譯的程序可不能用。你會需要一個與生產(chǎn)環(huán)境一致的測試環(huán)境,在進行最終部署之前,一定要在測試環(huán)境確認無誤才行。

CentOS 使用 yum-cron 進行自動更新。

Debian 和 Ubuntu 使用 無人值守更新。

Fedora 使用 dnf-automatic 。

添加一個受限用戶賬戶

我們假定你已經(jīng)使用 root 權(quán)限進入了服務(wù)器中,你此時擁有服務(wù)器的至高權(quán)限,一個不小心就會把服務(wù)器搞癱瘓。所以,你應(yīng)該有一個受限制賬戶而不是一直使用 root 賬戶。這不會給你的操作帶來多大麻煩,因為你可以通過 sudo來進行任何你想要的操作。

有的發(fā)行版可能并不把 sudo設(shè)為默認選項,不過你還是可以在軟件包倉庫中找到。如果你獲得的提示是 sudo:command not found,請在繼續(xù)之前安裝 sudo。

記住,添加新用戶你要通過 SSH 登錄服務(wù)器才行。

CentOS / Fedora

1、 創(chuàng)建用戶,用你想要的名字替換 example_user,并分配一個密碼:

2、 將用戶添加到具有 sudo 權(quán)限的 wheel 組:

Ubuntu

1、 創(chuàng)建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:

2、 添加用戶到 sudo 組,這樣你就有管理員權(quán)限了:

Debian

1、 Debian 默認的包中沒有 sudo, 使用 apt-get 來安裝:

2、 創(chuàng)建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:

3、 添加用戶到 sudo 組,這樣你就有管理員權(quán)限了:

創(chuàng)建完有限權(quán)限的用戶后,斷開你的服務(wù)器連接:

重新用你的新用戶登錄。用你的用戶名代替 example_user,用你的服務(wù)器 IP 地址代替例子中的 IP 地址:

現(xiàn)在你可以用你的新用戶帳戶管理你的服務(wù)器,而不是 root。 幾乎所有超級用戶命令都可以用 sudo(例如:sudo iptables -L -nv)來執(zhí)行,這些命令將被記錄到 /var/log/auth.log中。

加固 SSH 訪問

你可以使用密碼認證登錄服務(wù)器。但是更安全的方法是通過加密的密鑰對。你將徹底放棄密碼,用私鑰可以防止暴力破解。我們將告訴你如何創(chuàng)建密鑰對。

創(chuàng)建驗證密鑰對

1、創(chuàng)建密鑰對可以在你自己的電腦上完成,現(xiàn)在我們開始創(chuàng)建一個 4096 位的 RSA 密鑰對。即使有了密鑰,你仍然可以通過密碼方式加密你的私鑰,這樣除非你把密碼存在密鑰管理器里,不然就必須通過輸入正確的密碼使用你的私鑰。用了密碼能有一個雙重保險,不想用的話你直接把密碼字段留空就可以了。

Linux / OS X

現(xiàn)在我們開始第一步,請注意:如果你之前已經(jīng)創(chuàng)建過 RSA 密鑰對,則這個命令將會覆蓋它,帶來的結(jié)果很可能是你不能訪問其它的操作系統(tǒng)。如果你已創(chuàng)建過密鑰對,請?zhí)^此步驟。要檢查現(xiàn)有的密鑰,請運行 ls/ .ssh / id_rsa *。
上一頁 1 2 3 下一頁

關(guān)鍵詞: Linux 服務(wù)器 詳解

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉