如何安全強(qiáng)化你的Linux服務(wù)器

這篇文章主要為大家展示了“如何安全強(qiáng)化你的Linux服務(wù)器”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“如何安全強(qiáng)化你的Linux服務(wù)器”這篇文章吧。

創(chuàng)新互聯(lián)是一家專業(yè)提供班戈企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、H5開(kāi)發(fā)、小程序制作等業(yè)務(wù)。10年已為班戈眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

1、更新你的服務(wù)器

保護(hù)服務(wù)器安全的第一件事是更新本地存儲(chǔ)庫(kù)，并通過(guò)應(yīng)用最新的修補(bǔ)程序來(lái)升級(jí)操作系統(tǒng)和已安裝的應(yīng)用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL：

$ sudo dnf upgrade

2、創(chuàng)建一個(gè)新的特權(quán)用戶

接下來(lái)，創(chuàng)建一個(gè)新的用戶帳戶。永遠(yuǎn)不要以 root 身份登錄服務(wù)器，而是創(chuàng)建你自己的帳戶（用戶），賦予它 sudo 權(quán)限，然后使用它登錄你的服務(wù)器。

首先創(chuàng)建一個(gè)新用戶：

$ adduser <username>

通過(guò)將 sudo 組（-G）附加（-a）到用戶的組成員身份里，從而授予新用戶帳戶 sudo 權(quán)限：

$ usermod -a -G sudo <username>

3、上傳你的 SSH 密鑰

你應(yīng)該使用 SSH 密鑰登錄到新服務(wù)器。你可以使用 ssh-copy-id 命令將預(yù)生成的 SSH 密鑰上傳到你的新服務(wù)器：

$ ssh-copy-id <username>@ip_address

現(xiàn)在，你無(wú)需輸入密碼即可登錄到新服務(wù)器。

4、安全強(qiáng)化 SSH

接下來(lái)，進(jìn)行以下三個(gè)更改：

• 禁用 SSH 密碼認(rèn)證

• 限制 root 遠(yuǎn)程登錄

• 限制對(duì) IPv4 或 IPv6 的訪問(wèn)

使用你選擇的文本編輯器打開(kāi) /etc/ssh/sshd_config 并確保以下行：

PasswordAuthentication yesPermitRootLogin yes

改成這樣：

PasswordAuthentication noPermitRootLogin no

接下來(lái)，通過(guò)修改 AddressFamily 選項(xiàng)將 SSH 服務(wù)限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4（對(duì)大多數(shù)人來(lái)說(shuō)應(yīng)該沒(méi)問(wèn)題），請(qǐng)進(jìn)行以下更改：

AddressFamily inet

重新啟動(dòng) SSH 服務(wù)以啟用你的更改。請(qǐng)注意，在重新啟動(dòng) SSH 服務(wù)之前，與服務(wù)器建立兩個(gè)活動(dòng)連接是一個(gè)好主意。有了這些額外的連接，你可以在重新啟動(dòng) SSH 服務(wù)出錯(cuò)的情況下修復(fù)所有問(wèn)題。

在 Ubuntu 上：

$ sudo service sshd restart

在 Fedora 或 CentOS 或任何使用 Systemd 的系統(tǒng)上：

$ sudo systemctl restart sshd

5、啟用防火墻

現(xiàn)在，你需要安裝防火墻、啟用防火墻并對(duì)其進(jìn)行配置，以僅允許你指定的網(wǎng)絡(luò)流量通過(guò)。（Ubuntu 上的）簡(jiǎn)單的防火墻（UFW）是一個(gè)易用的 iptables 界面，可大大簡(jiǎn)化防火墻的配置過(guò)程。

你可以通過(guò)以下方式安裝 UFW：

$ sudo apt install ufw

默認(rèn)情況下，UFW 拒絕所有傳入連接，并允許所有傳出連接。這意味著服務(wù)器上的任何應(yīng)用程序都可以訪問(wèn)互聯(lián)網(wǎng)，但是任何嘗試訪問(wèn)服務(wù)器的內(nèi)容都無(wú)法連接。

首先，確保你可以通過(guò)啟用對(duì) SSH、HTTP 和 HTTPS 的訪問(wèn)來(lái)登錄：

$ sudo ufw allow ssh$ sudo ufw allow http$ sudo ufw allow https

然后啟用 UFW：

$ sudo ufw enable

你可以通過(guò)以下方式查看允許和拒絕了哪些服務(wù)：

$ sudo ufw status

如果你想禁用 UFW，可以通過(guò)鍵入以下命令來(lái)禁用：

$ sudo ufw disable

你還可以（在 RHEL/CentOS 上）使用 firewall-cmd，它已經(jīng)安裝并集成到某些發(fā)行版中。

6、安裝 Fail2ban

Fail2ban 是一種用于檢查服務(wù)器日志以查找重復(fù)或自動(dòng)攻擊的應(yīng)用程序。如果找到任何攻擊，它會(huì)更改防火墻以永久地或在指定的時(shí)間內(nèi)阻止攻擊者的 IP 地址。

你可以通過(guò)鍵入以下命令來(lái)安裝 Fail2ban：

$ sudo apt install fail2ban -y

然后復(fù)制隨附的配置文件：

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

重啟 Fail2ban：

$ sudo service fail2ban restart

這樣就行了。該軟件將不斷檢查日志文件以查找攻擊。一段時(shí)間后，該應(yīng)用程序?qū)⒔⑾喈?dāng)多的封禁的 IP 地址列表。你可以通過(guò)以下方法查詢 SSH 服務(wù)的當(dāng)前狀態(tài)來(lái)查看此列表：

$ sudo fail2ban-client status ssh

7、移除無(wú)用的網(wǎng)絡(luò)服務(wù)

幾乎所有 Linux 服務(wù)器操作系統(tǒng)都啟用了一些面向網(wǎng)絡(luò)的服務(wù)。你可能希望保留其中大多數(shù)，然而，有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運(yùn)行的網(wǎng)絡(luò)服務(wù)：（LCTT 譯注：應(yīng)該是只保留少部分，而所有確認(rèn)無(wú)關(guān)的、無(wú)用的服務(wù)都應(yīng)該停用或刪除。）

$ sudo ss -atpu

ss 的輸出取決于你的操作系統(tǒng)。下面是一個(gè)示例，它顯示 SSH（sshd）和 Ngnix（nginx）服務(wù)正在偵聽(tīng)網(wǎng)絡(luò)并準(zhǔn)備連接：

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

刪除未使用的服務(wù)的方式因你的操作系統(tǒng)及其使用的程序包管理器而異。

要在 Debian / Ubuntu 上刪除未使用的服務(wù)：

$ sudo apt purge <service_name>

要在 Red Hat/CentOS 上刪除未使用的服務(wù)：

$ sudo yum remove <service_name>

再次運(yùn)行 ss -atup 以確認(rèn)這些未使用的服務(wù)沒(méi)有安裝和運(yùn)行。

以上是“如何安全強(qiáng)化你的Linux服務(wù)器”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享題目：如何安全強(qiáng)化你的Linux服務(wù)器
URL標(biāo)題：http://muchs.cn/article6/joheog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、手機(jī)網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、搜索引擎優(yōu)化、企業(yè)建站、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)