Linux服务器加固的基本步骤详解.doc
《Linux服务器加固的基本步骤详解.doc》由会员分享,可在线阅读,更多相关《Linux服务器加固的基本步骤详解.doc(8页珍藏版)》请在三一文库上搜索。
1、Linux服务器加固的基本步骤详解-经常升级系统00%-自动安全更新02%-添加一个受限用户账户07%-CentOS / Fedora11%-Ubuntu13%-Debian15%-加固 SSH 访问21%-创建验证密钥对23%-SSH 守护进程选项43%-使用 Fail2Ban 保护 SSH 登录54%-删除未使用的面向网络的服务58%-查明运行的服务59%-查明该移除哪个服务80%-卸载监听的服务87%-配置防火墙90%-接下来95%现在让我们强化你的服务器以防止未授权访问。经常升级系统将软件更新到最新版本通常是任何操作系统所必需的安全预防措施。软件在更新时通常会在大到关键漏洞补丁、小到b
2、ug修复的范围内进行,很多漏洞实际上在被公布时就已经被修复了。自动安全更新你可以调节服务器关于自动更新的的参数。Fedora 的 Wiki页面上有一篇文章对自动更新进行了深入解读,文章里提到我们可以通过调整参数为安全更新会把自动更新的风险降低至最少。当然,是否选择自动更新必须由你自己决定,因为这取决于你将要在你的服务器上进行何种工作。自动更新只能通过仓库里的包才能进行,你自己编译的程序可不能用。你会需要一个与生产环境一致的测试环境,在进行最终部署之前,一定要在测试环境确认无误才行。CentOS 使用 yum-cron进行自动更新。Debian 和 Ubuntu 使用 无人值守更新。Fedora
3、 使用 dnf-automatic 。添加一个受限用户账户我们假定你已经使用root权限进入了服务器中,你此时拥有服务器的至高权限,一个不小心就会把服务器搞瘫痪。所以,你应该有一个受限制账户而不是一直使用root账户。这不会给你的操作带来多大麻烦,因为你可以通过sudo来进行任何你想要的操作。有的发行版可能并不把sudo设为默认选项,不过你还是可以在软件包仓库中找到。如果你获得的提示是sudo:command not found,请在继续之前安装sudo。记住,添加新用户你要通过 SSH 登录服务器才行。CentOS / Fedora1、 创建用户,用你想要的名字替换example_user,
4、并分配一个密码:2、 将用户添加到具有 sudo 权限的wheel组:Ubuntu1、 创建用户,用你想要的名字替换example_user。你将被要求输入用户密码:2、 添加用户到sudo组,这样你就有管理员权限了:Debian1、 Debian 默认的包中没有sudo, 使用apt-get来安装:2、 创建用户,用你想要的名字替换example_user。你将被要求输入用户密码:3、 添加用户到sudo组,这样你就有管理员权限了:创建完有限权限的用户后,断开你的服务器连接:重新用你的新用户登录。用你的用户名代替example_user,用你的服务器 IP 地址代替例子中的 IP 地址:现在
5、你可以用你的新用户帐户管理你的服务器,而不是root。 几乎所有超级用户命令都可以用sudo(例如:sudo iptables -L -nv)来执行,这些命令将被记录到/var/log/auth.log中。加固 SSH 访问你可以使用密码认证登录服务器。但是更安全的方法是通过加密的密钥对。你将彻底放弃密码,用私钥可以防止暴力破解。我们将告诉你如何创建密钥对。创建验证密钥对1、创建密钥对可以在你自己的电脑上完成,现在我们开始创建一个 4096 位的 RSA 密钥对。即使有了密钥,你仍然可以通过密码方式加密你的私钥,这样除非你把密码存在密钥管理器里,不然就必须通过输入正确的密码使用你的私钥。用了密
6、码能有一个双重保险,不想用的话你直接把密码字段留空就可以了。Linux / OS X现在我们开始第一步,请注意:如果你之前已经创建过 RSA 密钥对,则这个命令将会覆盖它,带来的结果很可能是你不能访问其它的操作系统。如果你已创建过密钥对,请跳过此步骤。要检查现有的密钥,请运行ls/ .ssh / id_rsa *。在输入密码之前,按下回车使用/home/your_username/.ssh中的默认名称id_rsa和id_rsa.pub。Windows这可以使用 PuTTY 完成,在我们指南中已有描述:使用 SSH 公钥验证。2、将公钥上传到您的服务器上。 将example_user替换为你用来
7、管理服务器的用户名称,将203.0.113.10替换为你的服务器的 IP 地址。Linux在本机上:OS X在你的服务器上(用你的权限受限用户登录):在本机上:如果相对于scp你更喜欢ssh-copy-id的话,那么它也可以在 Hemebrew 中找到。使用brew install ssh-copy-id安装。Windows选择 1:使用 WinSCP来完成。 在登录窗口中,输入你的服务器的 IP 地址作为主机名,以及非 root 的用户名和密码。单击“登录”连接。一旦 WinSCP 连接后,你会看到两个主要部分。 左边显示本机上的文件,右边显示服务区上的文件。 使用左侧的文件浏览器,导航到你
8、已保存公钥的文件,选择公钥文件,然后点击上面工具栏中的“上传”。系统会提示你输入要将文件放在服务器上的路径。 将文件上传到/home/example_user/.ssh /authorized_keys,用你的用户名替换example_user。选择 2:将公钥直接从 PuTTY 键生成器复制到连接到你的服务器中(作为非 root 用户):上面命令将在文本编辑器中打开一个名为authorized_keys的空文件。 将公钥复制到文本文件中,确保复制为一行,与 PuTTY 所生成的完全一样。 按下CTRL + X,然后按下Y,然后回车保存文件。最后,你需要为公钥目录和密钥文件本身设置权限:这些命
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 服务器 加固 基本 步骤 详解
链接地址:https://www.31doc.com/p-3255377.html