本文作者:我爱技术网

浅谈Linux服务器安全防护九招,大家需注意这几点

我爱技术网 11个月前 ( 01-20 ) 777
摘要: 任何一套关键性系统都需要高度重视服务器安全性,特别是在公有云环境当中。在今天的文章中,我们将专注于基本原理与一般性最佳实践层面对此加以解读。我在操作系统配置完成之后始终坚持执行的安...

任何一套关键性体系都需求高度重视服务器安全性,特别是在公有云环境傍边。在今日的文章中,咱们将专心于基本原理与一般性最佳实践层面对此加以解读。

浅谈Linux服务器安全防护九招,大家需注意这几点 胡言乱语  第1张

我在操作体系配置完结之后一直坚持履行的安全改善举动。

让咱们以Ubuntu 16.04为例:

1.坚持内核随时更新。

环境尽管不应该盲目更新,不过在刚刚装置完结的服务器傍边,版别更新一般都可以带来更抱负的安全成效。

其间一项惯例主张是禁用各项未运用采纳举动。不过我个人十分信赖发行版供货商。一般来讲,我以为他们给出的默许装置及启用选项仍是恰当牢靠的。

  1. apt-get -y update

2. 重置Root暗码。

咱们有时候需求在ssh无法起效的情况下拜访各虚拟机的网络控制台,这类情况包含iptables规矩将咱们屏蔽、操作体系内核出现问题或许虚拟机奥秘重启等等。

  1. root_pwd=”DevOpsDennyChangeMe1″

  2. echo “root:$root_pwd” | chpasswd

3. 强化SSHD。

在keyfile傍边仅答应ssh拜访,这意味着黑客无法轻松猜到咱们的暗码内容。运用除端口22之外的其它ssh监听端口,这可以有用防止歹意ssh登录测验。

  1. # Disable ssh bypassword

  2. sed -i ‘s/^#PasswordAuthentication yes/PasswordAuthentication no/g’

  3. /etc/ssh/sshd_config

  4. sed -i ‘s/PasswordAuthentication yes/PasswordAuthentication no/g’

  5. /etc/ssh/sshd_config

  6. grep PasswordAuthentication /etc/ssh/sshd_config

  7. # Use another ssh port

  8. sshd_port=”2702″

  9. sed -i “s/^Port 22/Port $sshd_port/g” /etc/ssh/sshd_config

  10. grep “^Port ” /etc/ssh/sshd_config

  11. # Restart sshd to take effect

  12. service ssh restart

4.运用防火墙约束歹意拜访。

这可能是咱们应当采纳的最为重要的安全改善举动了。

  1. # Disable ssh bypassword

  2. sed -i ‘s/^#PasswordAuthentication yes/PasswordAuthentication no/g’

  3. /etc/ssh/sshd_config

  4. sed -i ‘s/PasswordAuthentication yes/PasswordAuthentication no/g’

  5. /etc/ssh/sshd_config

  6. grep PasswordAuthentication /etc/ssh/sshd_config

  7. # Use another ssh port

  8. sshd_port=”2702″

  9. sed -i “s/^Port 22/Port $sshd_port/g” /etc/ssh/sshd_config

  10. grep “^Port ” /etc/ssh/sshd_config

  11. # Restart sshd to take effect

  12. service ssh restart

  13. # Have a clean start with iptables

  14. iptables -F; iptables -X

  15. echo ‘y’ | ufw reset

  16. echo ‘y’ | ufw enable

  17. ufw default deny incoming

  18. ufw default deny forward

  19. # Allow traffic of safe ports

  20. ufw allow 22,80,443/tcp

  21. # Allow traffic from certain port

  22. ufw allow 2702/tcp

  23. # Allow traffic from trusted ip

  24. ufw allow from 52.74.151.55

5.向指令前史中增加时刻戳。

经过这种方法,咱们可以查看哪些指令曾在何时得以履行。

  1. echo export HISTTIMEFORMAT=”%h %d %H:%M:%S ” >> /root/.bashrc

6.生成SSH密钥对。

永久、永久不要在不同服务器之间同享同一ssh密钥对!

  1. exec ssh-agent bash

  2. # General new key pair

  3. ssh-keygen

  4. # Loadkey pair

  5. ssh-add

7.高度重视var/log。

运用logwatch以主动履行查看与剖析使命。这是一套有用的解析型perl脚本,可以剖析体系日志活动并生成陈述。其间需求重视的要点日志文件包含:

◆/var/log/kern.log

◆/var/log/syslog

◆/var/log/ufw.log

◆/var/log/auth.log

◆/var/log/dpkg.log

◆/var/log/aptitude

◆/var/log/boot.log

◆/var/log/cron.log

◆/var/log/mailog

  1. exec ssh-agent bash

  2. # General new key pair

  3. ssh-keygen

  4. # Loadkey pair

  5. ssh-add

  6. apt-get install -y logwatch

  7. # Fullcheck. Takes several minutes

  8. logwatch –range ALL

  9. # Onlycheck log of Today

  10. logwatch –range Today

8.运转第三方安全查看东西。

并不是每位用户都具有强壮的安全常识储藏。因而最好挑选牢靠且多样化的东西方案。Lynis易于运用且功用牢靠——其仅作为单一bash文件存在。

  1. apt-get install -y lynis

  2. # Run lynis tocheck security issues

  3. lynis -c

9.恰当备份无法康复的数据。

永久要准备一套B方案。作为最终弥补手法,其应该可以将体系快速康复至新服务器之上。


推荐阅读:

为什么我建议大家使用Nginx而不是Apache?

wordpress服务器转到国内了,速度还是很慢?

聊下建站性价比最高的十大域名空间服务器商,你会选择哪一家?

文章版权及转载声明:

作者:我爱技术网本文地址:http://www.wajsw.com/blog/749.html发布于 11个月前 ( 01-20 )
文章转载或复制请以超链接形式并注明出处我爱技术网