加入收藏 | 设为首页 | 会员中心 | 我要投稿 | 在线留言 | RSS
成网科技业务包括域名空间企业网站制作
 
国际域名com/net/org仅售80元/年
1G独立空间(PHP+MYSQL)仅售600元/年
您当前的位置:首页 > 技术交流 > 网络安全 > 安全设置

如何使Linux服务器变得更安全

时间:2015-09-30 11:24:44  来源:互联网  作者:佚名  点击:

牢记以下这七点会让你的Linux服务器变得更安全XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

图1:运行中的服务。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

安装所需的服务XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

如果你打算运行一台服务器,可能会想“我有来自Linode的40GB固态硬盘(SSD)存储系统,于是我可以安装想要安装的任何服务。”没错,你的地盘你作主:可以在服务器上安装任意软件。不过,别犯想当然的毛病。连最固若金汤的服务器也会因有人钻了在该服务器上运行的任何未打补丁或易受攻击的软件组件的空子而被劫持。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

所以,头一条规则就是让你的服务器尽量精简。只安装你确实需要的那些程序包。要是有不需要的程序包,那就清除。程序包数量越少,代码没打上补丁的可能性就越小。在安装任何软件和依赖程序包(比如ownCloud)之前,你应该读一下ownCloud的说明文档,只安装它需要的那些程序包。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

运行所需的服务XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

第二条规则就是只运行需要的那些服务。许多发行版或程序包可能会开启某些服务,在不同的端口上运行。这可能会带来安全风险。于是,打开终端,运行下列命令:netstat -nplXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

输出结果会显示哪些服务在哪些端口上运行。如果你发现任何不应该运行的服务,停止它。你还应该密切关注已被启用、系统启动时运行的服务。只要在运行systemd的系统上运行下列命令,就可以来检查这方面:systemctl list-unit-files --type=service | grep enabledXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

视系统而定,你会获得如上图1中所示的输出结果。要是你发现任何不需要的服务,可以使用强大的systemct1命令来禁用它:systemctl disable service_nameXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

限制对服务器的访问XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

就好比你不会把自家钥匙随随便便交给认识的人,也不会将访问服务器的权限交随随便便授予认识的人。一旦明确了这个规则,就可以限制对服务器的访问。要牢记这点:这一切打消不了决意要破坏你服务器的坏人的念头。不过,其作用在于为你的服务器增添了多一层的安全,防范只是捡漏的不法分子。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

千万不要以根用户的身份登录XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

以超级用户的身份通过ssh进入到服务器不是一个好做法。我们后面会禁止以根用户身份通过ssh进入到服务器,不过在这么做之前,不妨创建一个拥有sudo权限的用户,那样你就能通过ssh进入到服务器,执行管理员任务了。一旦你登录进入到服务器,总是可以将用户切换成根用户,如果需要的话。如果你已经在系统上有了用户,就跳过几步;不然,跟着我走。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

不同的发行版使用不同的方法来添加新用户;Red Hat/CentOS使用useradd,Ubuntu/Debian使用user adduser。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

在Fedora/CentOS上创建新用户:useradd swapnilXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

然后,为该用户创建密码:passwd swapnilXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

它会要求你为它提供用户的新密码。现在,你需要为该用户授予sudo权限。运行下列命令:EDITOR=nano visudoXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
寻找下面这一行(见图2):# %wheel ALL=(ALL) ALLXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

图2:为用户授予sudo权限。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

去掉该行的注释(#符号意味着该行被注释;只要去掉这个符号,即可去掉注释),那样它看起来就像这样:%wheel ALL=(ALL) ALLXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

现在,保存并关闭文件。如果用户不属于wheel组,你只要运行下面这个命令,就可以将它轻松添加到组:# usermod -aG wheel swapnilXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

在Ubuntu系统上,你可以添加新用户,为此运行下列命令:adduser swapnilXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

回答系统提出的一些问题,包括为该用户创建密码。一旦创建完毕,为用户授予sudo权限:gpasswd -a swapnil sudoXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

打开另一个终端窗口,试着以刚创建的用户的身份登录进入到服务器,试着以sudo权限执行一些管理员任务。要是一切正常,进入到下一步。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

禁用根用户登录XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

我们现在要禁用根用户登录,这意味着没人能够以根用户的身份通过ssh或登录进入到服务器。为此,打开sshd配置文件:nano /etc/ssh/sshd_confXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

下一步,寻找显示下列内容的这一注释行:#PermitRootLogin noXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

然后保存并关闭该文件,重启服务:service ssh restart或者systemctl restart sshdXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

重要提醒:这时切莫退出服务器。你要测试能不能使用刚创建的用户成功地通过ssh进入到服务器。打开终端的另一个实例,以之前创建的用户通过ssh进入到服务器。你不希望完全被锁在服务器外面。要是一切都正常,你可以以根用户身份安全地注销退出服务器。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

变更端口XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

我们对sshd配置文件要进行的第二个变化就是更改默认端口。这主要是增添一层隐匿性,让你的服务器确保安全,而不是给服务器果真增添任何实际的安全机制。这就好比保安服务公司派一样的车辆来运送重要人物,那样攻击者就不知道该攻击哪些车了。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

打开sshd_config文件(这回以sudo权限打开,因为你再也不能以根用户身份登录进入到服务器了):sudo nano /etc/ssh/sshd_confXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
然后,找到这一注释行:#Port 22XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
去掉该行注释,选择一个端口号。在选择端口时,务必要确保它没有被你系统上的其他任何服务所使用,我为服务器选择了端口1977:Port 1977XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
下一步,保存并关闭文件,重启sshd服务。再一次,注销退出服务器之前,检查一下设置,为此可以打开另一个终端窗口,然后使用该模式登录进去:ssh -p{port_number}@server_IPXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
示例:XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

ssh -p1977XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
swapnil@10.14.190.118XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

如果你能成功登录进去,就搞定了。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

无密码登录XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

你可以通过无密码登录更容易通过ssh进入到服务器,并且完全禁用密码验证,增添另一层安全。务必要牢记一点:你只能够从创建ssh密钥的那台机器登录进入到你的服务器。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

不妨使用下列命令,在本地系统上创建ssh密钥(见图3):ssh-keygen - t rsaXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

图3:创建ssh密钥。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

它会提出一些问题;你不用更改密钥位置,保留其默认值,为它提供一个难以猜中的通行码。下一步,你需要将这些密钥拷贝到服务器上,那样两台机器就能使用密钥与对方进行联系了。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

cat ~/.ssh/id_rsa.pub | ssh -p 1977 swapnil@remote-server ";mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

现在,试着从另一个终端通过ssh进入到服务器;要是一切正常,它不会要求你输入密码。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

这一步主要是为了方便,而不是增添一些实实在在的安全。不过你也可以增添一点安全,只要禁用服务器的密码验证。只需打开sshd配置文件,寻找这注释的一行:#PasswordAuthentication yesXtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设
去掉该行注释,将它从yes改成no。保存并关闭文件。然后,重启sshd服务。再一次,切莫从当前窗口关闭服务器连接。打开另一个窗口,登录进入到服务器(确保它没有要求输入密码)。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

这个设置的另一个方面在于,你现在只能从创建ssh密钥的那一台机器通过ssh进入到服务器。如果你经常从不同的机器登录进入到服务器,千万不要使用这一方法。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

这些是试图自行运行服务器的新用户需要考虑的一些基本方面。牢记一点:黑客总是先行一步;他们不断寻找进而闯入你服务器的任何漏洞。因而,最佳实践就是对你的服务器做一套始终最新的备份。我建议你在对站点做任何变化前后都应该进行备份。那样一来,万一你的服务器中了招,总是能够从上一套备份恢复过来。XtL成网科技_开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设

成网科技 www.it28.com竭诚为您服务!
开平网站建设_开平网站制作_开平企业网站_开平网页设计_江门网站建设_成网科技

更多
 


来顶一下
返回首页
返回首页
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
相关文章
栏目更新
栏目热门