如何讓你的Linux服務(wù)器變得更安全

2015-10-15 09:20 作者：admin 瀏覽量：

　　安裝所需的服務(wù)

　　如果你打算運(yùn)行一臺(tái)服務(wù)器，可能會(huì)想“我有來(lái)自Linode的40GB固態(tài)硬盤(SSD)存儲(chǔ)系統(tǒng)，于是我可以安裝想要安裝的任何服務(wù)。”沒錯(cuò)，你的地盤你作主：可以在服務(wù)器上安裝任意軟件。不過(guò)，別犯想當(dāng)然的毛病。連最固若金湯的服務(wù)器也會(huì)因有人鉆了在該服務(wù)器上運(yùn)行的任何未打補(bǔ)丁或易受攻擊的軟件組件的空子而被劫持。

　　所以，頭一條規(guī)則就是讓你的服務(wù)器盡量精簡(jiǎn)。只安裝你確實(shí)需要的那些程序包。要是有不需要的程序包，那就清除。程序包數(shù)量越少，代碼沒打上補(bǔ)丁的可能性就越小。在安裝任何軟件和依賴程序包(比如ownCloud)之前，你應(yīng)該讀一下ownCloud的說(shuō)明文檔，只安裝它需要的那些程序包。（it外包服務(wù)公司）

　　運(yùn)行所需的服務(wù)

　　第二條規(guī)則就是只運(yùn)行需要的那些服務(wù)。許多發(fā)行版或程序包可能會(huì)開啟某些服務(wù)，在不同的端口上運(yùn)行。這可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。于是，打開終端，運(yùn)行下列命令：

　　netstat -npl

　　輸出結(jié)果會(huì)顯示哪些服務(wù)在哪些端口上運(yùn)行。如果你發(fā)現(xiàn)任何不應(yīng)該運(yùn)行的服務(wù)，停止它。你還應(yīng)該密切關(guān)注已被啟用、系統(tǒng)啟動(dòng)時(shí)運(yùn)行的服務(wù)。只要在運(yùn)行systemd的系統(tǒng)上運(yùn)行下列命令，就可以來(lái)檢查這方面：

　　systemctl list-unit-files --type=service | grep enabled

　　視系統(tǒng)而定，你會(huì)獲得如上圖1中所示的輸出結(jié)果。要是你發(fā)現(xiàn)任何不需要的服務(wù)，可以使用強(qiáng)大的systemct1命令來(lái)禁用它：

　　systemctl disable service_name

　　限制對(duì)服務(wù)器的訪問(wèn)

　　就好比你不會(huì)把自家鑰匙隨隨便便交給認(rèn)識(shí)的人，也不會(huì)將訪問(wèn)服務(wù)器的權(quán)限交隨隨便便授予認(rèn)識(shí)的人。一旦明確了這個(gè)規(guī)則，就可以限制對(duì)服務(wù)器的訪問(wèn)。要牢記這點(diǎn)：這一切打消不了決意要破壞你服務(wù)器的壞人的念頭。不過(guò)，其作用在于為你的服務(wù)器增添了多一層的安全，防范只是撿漏的不法分子。

　　千萬(wàn)不要以根用戶的身份登錄

　　以超級(jí)用戶的身份通過(guò)ssh進(jìn)入到服務(wù)器不是一個(gè)好做法。我們后面會(huì)禁止以根用戶身份通過(guò)ssh進(jìn)入到服務(wù)器，不過(guò)在這么做之前，不妨創(chuàng)建一個(gè)擁有sudo權(quán)限的用戶，那樣你就能通過(guò)ssh進(jìn)入到服務(wù)器，執(zhí)行管理員任務(wù)了。一旦你登錄進(jìn)入到服務(wù)器，總是可以將用戶切換成根用戶，如果需要的話。如果你已經(jīng)在系統(tǒng)上有了用戶，就跳過(guò)幾步;不然，跟著我走。

　　不同的發(fā)行版使用不同的方法來(lái)添加新用戶;Red Hat/CentOS使用useradd，Ubuntu/Debian使用user adduser。(it外包)

　　在Fedora/CentOS上創(chuàng)建新用戶：

　　useradd swapnil

　　然后，為該用戶創(chuàng)建密碼：

　　passwd swapnil

　　安裝所需的服務(wù)

　　如果你打算運(yùn)行一臺(tái)服務(wù)器，可能會(huì)想“我有來(lái)自Linode的40GB固態(tài)硬盤(SSD)存儲(chǔ)系統(tǒng)，于是我可以安裝想要安裝的任何服務(wù)。”沒錯(cuò)，你的地盤你作主：可以在服務(wù)器上安裝任意軟件。不過(guò)，別犯想當(dāng)然的毛病。連最固若金湯的服務(wù)器也會(huì)因有人鉆了在該服務(wù)器上運(yùn)行的任何未打補(bǔ)丁或易受攻擊的軟件組件的空子而被劫持。

　　所以，頭一條規(guī)則就是讓你的服務(wù)器盡量精簡(jiǎn)。只安裝你確實(shí)需要的那些程序包。要是有不需要的程序包，那就清除。程序包數(shù)量越少，代碼沒打上補(bǔ)丁的可能性就越小。在安裝任何軟件和依賴程序包(比如ownCloud)之前，你應(yīng)該讀一下ownCloud的說(shuō)明文檔，只安裝它需要的那些程序包。

　　運(yùn)行所需的服務(wù)

　　第二條規(guī)則就是只運(yùn)行需要的那些服務(wù)。許多發(fā)行版或程序包可能會(huì)開啟某些服務(wù)，在不同的端口上運(yùn)行。這可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。于是，打開終端，運(yùn)行下列命令：

　　netstat -npl

　　輸出結(jié)果會(huì)顯示哪些服務(wù)在哪些端口上運(yùn)行。如果你發(fā)現(xiàn)任何不應(yīng)該運(yùn)行的服務(wù)，停止它。你還應(yīng)該密切關(guān)注已被啟用、系統(tǒng)啟動(dòng)時(shí)運(yùn)行的服務(wù)。只要在運(yùn)行systemd的系統(tǒng)上運(yùn)行下列命令，就可以來(lái)檢查這方面：

　　systemctl list-unit-files --type=service | grep enabled

　　視系統(tǒng)而定，你會(huì)獲得如上圖1中所示的輸出結(jié)果。要是你發(fā)現(xiàn)任何不需要的服務(wù)，可以使用強(qiáng)大的systemct1命令來(lái)禁用它：

　　systemctl disable service_name

　　限制對(duì)服務(wù)器的訪問(wèn)

　　就好比你不會(huì)把自家鑰匙隨隨便便交給認(rèn)識(shí)的人，也不會(huì)將訪問(wèn)服務(wù)器的權(quán)限交隨隨便便授予認(rèn)識(shí)的人。一旦明確了這個(gè)規(guī)則，就可以限制對(duì)服務(wù)器的訪問(wèn)。要牢記這點(diǎn)：這一切打消不了決意要破壞你服務(wù)器的壞人的念頭。不過(guò)，其作用在于為你的服務(wù)器增添了多一層的安全，防范只是撿漏的不法分子。

　　千萬(wàn)不要以根用戶的身份登錄

　　以超級(jí)用戶的身份通過(guò)ssh進(jìn)入到服務(wù)器不是一個(gè)好做法。我們后面會(huì)禁止以根用戶身份通過(guò)ssh進(jìn)入到服務(wù)器，不過(guò)在這么做之前，不妨創(chuàng)建一個(gè)擁有sudo權(quán)限的用戶，那樣你就能通過(guò)ssh進(jìn)入到服務(wù)器，執(zhí)行管理員任務(wù)了。一旦你登錄進(jìn)入到服務(wù)器，總是可以將用戶切換成根用戶，如果需要的話。如果你已經(jīng)在系統(tǒng)上有了用戶，就跳過(guò)幾步;不然，跟著我走。

　　不同的發(fā)行版使用不同的方法來(lái)添加新用戶;Red Hat/CentOS使用useradd，Ubuntu/Debian使用user adduser。

　　在Fedora/CentOS上創(chuàng)建新用戶：

　　useradd swapnil

　　然后，為該用戶創(chuàng)建密碼：

　　passwd swapnil

　　它會(huì)要求你為它提供用戶的新密碼。現(xiàn)在，你需要為該用戶授予sudo權(quán)限。運(yùn)行下列命令：

　　EDITOR=nano visudo

　　尋找下面這一行(見圖2)：

　　# %wheel ALL=(ALL) ALL

　　它會(huì)要求你為它提供用戶的新密碼。現(xiàn)在，你需要為該用戶授予sudo權(quán)限。運(yùn)行下列命令：

　　EDITOR=nano visudo

　　尋找下面這一行(見圖2)：

　　# %wheel ALL=(ALL) ALL

　　它會(huì)提出一些問(wèn)題;你不用更改密鑰位置，保留其默認(rèn)值，為它提供一個(gè)難以猜中的通行碼。下一步，你需要將這些密鑰拷貝到服務(wù)器上，那樣兩臺(tái)機(jī)器就能使用密鑰與對(duì)方進(jìn)行聯(lián)系了。

　　cat ~/.ssh/id_rsa.pub | ssh -p 1977 swapnil@remote-server ";mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

　　現(xiàn)在，試著從另一個(gè)終端通過(guò)ssh進(jìn)入到服務(wù)器;要是一切正常，它不會(huì)要求你輸入密碼。

　　這一步主要是為了方便，而不是增添一些實(shí)實(shí)在在的安全。不過(guò)你也可以增添一點(diǎn)安全，只要禁用服務(wù)器的密碼驗(yàn)證。只需打開sshd配置文件，尋找這注釋的一行：

　　#PasswordAuthentication yes

　　去掉該行注釋，將它從yes改成no。保存并關(guān)閉文件。然后，重啟sshd服務(wù)。再一次，切莫從當(dāng)前窗口關(guān)閉服務(wù)器連接。打開另一個(gè)窗口，登錄進(jìn)入到服務(wù)器(確保它沒有要求輸入密碼)。(電腦維護(hù)外包)

　　這個(gè)設(shè)置的另一個(gè)方面在于，你現(xiàn)在只能從創(chuàng)建ssh密鑰的那一臺(tái)機(jī)器通過(guò)ssh進(jìn)入到服務(wù)器。如果你經(jīng)常從不同的機(jī)器登錄進(jìn)入到服務(wù)器，千萬(wàn)不要使用這一方法。

　　這些是試圖自行運(yùn)行服務(wù)器的新用戶需要考慮的一些基本方面。牢記一點(diǎn)：黑客總是先行一步;他們不斷尋找進(jìn)而闖入你服務(wù)器的任何漏洞。因而，最佳實(shí)踐就是對(duì)你的服務(wù)器做一套始終最新的備份。我建議你在對(duì)站點(diǎn)做任何變化前后都應(yīng)該進(jìn)行備份。那樣一來(lái)，萬(wàn)一你的服務(wù)器中了招，總是能夠從上一套備份恢復(fù)過(guò)來(lái)。

　　艾銻無(wú)限是中國(guó)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無(wú)限http://www.maosdadas.net