保护Linux服务器的7个步骤

本文将向您介绍基本的Linux服务器安全保护措施,侧重于Debian/Ubuntu,但是您可以将本文介绍的所有内容应用于其他Linux发行版。

1. 更新你的服务器

要保护服务器,您应该做的第一件事是更新本地存储库,并通过应用最新的补丁来升级操作系统和已安装的应用程序。

关于Ubuntu和Debian:

$ sudo apt update && sudo apt upgrade -y

在Fedora,CentOS或RHEL上:

$ sudo dnf upgrade

2. 创建一个新的特权用户帐户

接下来,创建一个新的用户帐户。永远不要以root用户身份登录服务器。相反,创建您自己的帐户(<user>),赋予它sudo权限,并使用它登录到您的服务器。

首先创建一个新用户:

$ adduser <用户名>

通过将(-a)sudo组(-G)附加到用户的组成员身份,授予新用户帐户sudo权限:

$ usermod -a -G sudo <用户名>

3.上传您的SSH密钥

使用SSH密钥登录到新服务器。您可以使用ssh-copy-id命令将预先生成的SSH密钥上传到新服务器:

$ ssh-copy-id

@ip_address

现在,您无需输入密码即可登录新服务器。

4. 安全的SSH

接下来,进行以下三个更改:

禁用SSH密码认证

限制root远程登录

限制对IPv4或IPv6的访问

使用您选择的文本编辑器打开/ etc / ssh / sshd_config并确保以下行:

PasswordAuthentication yes

PermitRootLogin yes

像这样:

PasswordAuthentication no

PermitRootLogin no

接下来,通过修改AddressFamily选项将SSH服务限制为IPv4或IPv6 。要将其更改为仅使用IPv4(对大多数人来说应该没问题),请进行以下更改:

AddressFamily inet

重新启动SSH服务以启用您的更改。请注意,在重新启动SSH服务器之前,与服务器建立两个活动连接。有了额外的连接,您可以在重新启动出错的情况下修复所有问题。

在Ubuntu上:

$ sudo service sshd restart

在Fedora或CentOS或任何使用Systemd的系统上:

$ sudo systemctl restart sshd

5. 启用防火墙

安装防火墙,启用防火墙并对其进行配置,以仅允许您指定的网络流量。简易防火墙(UFW)是iptables的易于使用的界面,可大大简化防火墙的配置过程。

您可以通过以下方式安装UFW:

$ sudo apt install ufw

默认情况下,UFW拒绝所有传入连接,并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网,但是任何尝试访问服务器的内容都无法连接。

首先,确保您可以通过启用对SSH、HTTP和HTTPS的访问来登录:

$ sudo ufw allow ssh

$ sudo ufw allow http

$ sudo ufw allow https

然后启用UFW:

$ sudo ufw enable

您可以通过以下方式查看允许和拒绝哪些服务:

$ sudo ufw status

如果您想禁用UFW,可以通过键入以下内容来禁用:

$ sudo ufw disable

您也可以使用firewall-cmd,它已经安装并集成到某些发行版中。

6. 安装Fail2ban

Fail2ban是一个用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何内容,它将更改防火墙以永久地或在指定的时间内阻止攻击者的IP地址。

您可以通过键入以下内容来安装Fail2ban:

$ sudo apt install fail2ban -y

然后复制随附的配置文件:

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

并重新启动Fail2ban:

$ sudo service fail2ban restart

该软件将不断检查日志文件以查找攻击。一段时间后,该应用程序将建立很多的禁止IP地址列表。您可以通过以下方法请求SSH服务的当前状态来查看此列表:

$ sudo fail2ban-client status ssh

7.删除未使用的面向网络的服务

几乎所有Linux服务器操作系统都启用了一些面向网络的服务。可能您希望保留其中大多数,但是,需要删除一些内容。您可以使用ss命令查看所有正在运行的网络服务:

$ sudo ss -atpu

ss的输出将取决于您的操作系统。这是您可能看到的示例。它显示SSH(sshd)和Ngnix(nginx)服务正在侦听并准备连接:

tcp LISTEN 0 128 *:http *:* users:((“nginx”,pid=22563,fd=7))

tcp LISTEN 0 128 *:ssh *:* users:((“sshd”,pid=685,fd=3))

删除未使用的服务(“<service_name>”)的方式将因您的操作系统及其使用的程序包管理器而异。

要删除Debian / Ubuntu上未使用的服务:

$ sudo apt purge

要在Red Hat / CentOS上删除未使用的服务:

$ sudo yum remove

再次运行ss -atup以确认不再安装和运行未使用的服务。

本文介绍了保护Linux服务器的一些基本步骤。您还可以根据使用服务器的方式,启用其他安全方法,包括单个应用程序配置、入侵检测软件以及启用访问控制(例如,双重身份验证)等功能。

Image placeholder
rooho
未设置
  94人点赞

没有讨论,发表一下自己的看法吧

推荐文章
合理建立Hadoop数据库的7个步骤

数据湖的概念起源于大数据的出现——且数据已成为企业的核心资产,Hadoop则是作为存储和管理数据的平台而出现。但是,盲目地投入Hadoop数据湖建设并不一定会使您的企业进入大数据时代——至少不是以一种

Linux服务器为什么被黑?

安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站

数据科学在信任与安全领域的7个典型用例

什么是信任和安全?它们在当前世界中扮演什么角色?我们经常在许多网站和平台上遇到“信任与安全”这个词。它被要求规范访客和平台之间的交互,以此促使用户的权益得到保障。从电子商务网站到社交网络,都需要防止欺

解决云中灾难恢复其实只需三个步骤!

很多人都认为,DR(灾难恢复)内置于云中,我们只需采用云本身的安全机制就行了,但事实并非如此。尽管,许多云提供商在数据恢复方面做得很好,但是如果你自己不做灾备,会错过很多只有真正意义上的DR系统才能具

智能数据可视化的5个步骤

如今,许多企业正在利用模型、数据分析、数据可视化和仪表板等措施实现数据驱动。例如商业领袖注重提升客户体验,技术领导者注重分析速度和网站指标,应用程序团队在其应用程序中嵌入分析程序等等。这意味着更多的开

往数据库添加数据4个步骤——增

1.前端回传数据,ajax或者直接表单提交,提交到资源路由admin/xxxpost2.后端接收数据,铜鼓参数回传$input=$request->all();或者except(token);3.表单

Java 程序员眼中的 Linux_1.0.Linux 介绍

Linux介绍 Linux这个名字 Linux的Wiki介绍:http://zh.wikipedia.org/zh/Linux Linux也称:GNU/Linux,而其中GNU的全称又是:Gnu’sN

[Java 程序员眼中的 Linux] Linux 下常用压缩文件的解压、压缩

Linux下常用压缩文件的解压、压缩 常用压缩包解压命令整理 Linux后缀为.tar.gz格式的文件-解压 命令:tarzxvfXXXXXX.tar.gz Linux后缀为.bz2格式的文件-解压

笨办法 学Linux 安装Linux

Linux学习起步 Windows,VirtualBox虚拟机(.ova格式的预配置映像) 学习Linux你需要什么 VitualBox,虚拟机播放器。 putty,终端模拟器。 预配置的Virtua

Linux/Unix 基础:什么是 Linux?

简单来讲,Linux是一个操作系统(OS)。我们都很熟悉其他操作系统,就像Microsoftwindows,AppleMacOS,iOS,Googleandroid,等等这些,linux就像它们一样,

Linux/Unix 基础:Linux 的历史

Linux的诞生 在1991年,来自芬兰Helsinki大学的学生LinusTorvalds认为市场上应该有一个比较统一的Unix版本,从此他就开始为这个项目奋斗。后来这个项目就成为了Linux操作系

别小瞧了 Linux,安卓、华为的自研系统,均源自 Linux!

众所周知,目前国内已有众多的国产系统,基本上均源自linux,以linux为基础进行二次开发。比如红旗linux、深度等等。但不知道为什么,一说起某系统是基于linux而来,很多网友就瞧不起,并且会觉

2019年你应该认真对待这7个移动安全威胁

如今,移动安全是每家公司最担心的问题——而且理由很充分:几乎所有员工现在都经常使用智能手机访问公司数据,这意味着让敏感信息不落入坏人之手是一个越来越复杂的难题。可以说,风险比以往任何时候都要高:根据波

60秒一口Python:147个demo,助你从新手小白步步进阶编程高手

人生苦短,编程苦手,不妨学起Python,感受一飞冲天的快乐。不要害怕学习的过程枯燥无味,这里有程序员jackzhenguo打造的一份中文Python“糖果包”:147个代码小样,60秒一口,营养又好

物联网软件开发面临的7种挑战

如今,物联网软件开发实际上是一个雷区。市场需要高质量、可扩展、强大、安全且用户友好的解决方案。物联网开发团队必须重新评估其标准流程,以便将所有因素都考虑进去。在物联网项目的背景下,重新评估“一切”意味

盘点 | 近期网络安全领域的7次重大收购

网络安全在今天比以往任何时候都更加重要。原因是我们比以往任何时候都更紧密地联系在一起。数字转型给我们带来了新的曙光,一切都通过互联网连接起来。然而,这使得我们的数据比以往任何时候都更容易受到攻击。技术

选择企业通讯平台,不容忽视的7大安全因素

信息平台正在改变工作场景信息共享的方式,但这不应该冒着数据泄露的风险。你需要让同事检查一项任务,你最可能的交流方式是什么?打电话?写一封电子邮件吗?还是直接走向他们的办公桌?如果您与大多数企业一样,那

【Linux 工具】服务器文件传输利器 lrzsz

场景  服务端开发人员经常会遇到的一个场景就是将本地的文件传到服务器上,或者把服务器上的文件下载到本地,那这个时候大家一般会用ftp服务,来完成这件事。但是如果服务器上并没有安装ftp服务的时候,这个

拒当透明人,区块链隐私保护该如何进行

前言:隐私是现代社会的产物,也是自由社会的根基。隐私保护也是区块链行业的重要研究方向之一,那么到底如何进行以及实现隐私保护呢?隐私保护的其中一种方式就是零知识证明。其实可以用一句话来概括:“证明者(A

访问 laradock 服务器内部 http 服务器

在laradock中创建了一个http服务器之后,在workspace容器中,通curl127.0.0.1:9588,可以返回helloworld。但是在本地,通过浏览器访问127.0.0.1:958

Linux中的Kdump服务

我们知道在Linux中系统分为内核态和用户态,一般用户行为都发生在用户态,内核自我管理。但如果内核出现错误崩溃了,可以使用Kdump来分析错误原因。Kdump服务提供了内核的崩溃转储机制,可以在内核崩

网络故障排除的五个简单步骤

长期从事IT工作的人会发现很多网络问题,其中一些问题很容易诊断和纠正,但有些问题很难弄明白。如果遇到这些问题时能够通过一些简单的步骤来排除网络故障,以收集信息并缩小问题的范围。第1步:检查网络配置网络

新加入页面步骤

1.定路由Route::get('admin/login','Admin\LoginController@login');2.创建控制器(用来和用户操作对接)phpar

给与授权步骤

1.在前端返回授权对象id2.后台接收到id在传回修改页面之前,绑定3个参数1->获取当前授权角色通过find查找id2->获取所有权限列表直接get所有3->获取当前授权对象拥有的权限(关联模型,在