BryanKnndy的《5分钟服务器安全设置》很好地介绍了对多数服务器攻击的防御对策。我们对他的方法做了一些修改,记录下来,作为推广我们的流程和最佳实践的一部分。还增加一些额外的解释,年轻的工程师们应该可以从中受益。
我每天上午检查logwatch邮件的时候,看到那些成百上千的登录尝试,几乎没有成功的,完全就像是一种享受。(有很多非常令人无语,比如用做root密码反反复复的登录)。这篇入门文章适用于Dbian/Ubuntu服务器,这是我们最喜欢的服务器发行版,通常我们这些服务器只是作为dockr容器的宿主机,不过原理仍然适用。下一次我们再深入讲解如何保护专门用作dockr宿主机的服务器。
在大规模系统上,当然最好是用Ansibl或Shipyard这类工具完全自动化配置。不过偶尔的,你只是搭建一 立服务器或为一个Ansiblrcip准备基准设置,这就是本文要涵盖的内容。
声明:本文仅仅是入门和基础,你需要根据自己的需求来扩展。
重要的事先说我们还没给root设密码呢,密码要随机、要复杂。我们用一种密码管理软件的密码生成器,调至最复杂设定。PW管理软件将密码加密保存,并且由一个很长的主密码保护着。这里提供了多项冗余措施——长、复杂、随机的密码+加密保存/另一个长密码保护。不管你是用PW管理软件或其他手段,要妥善保管密码并且要加密保存。你只有在忘了sudo密码时才会用到这个密码。
#passwd
*注:在HN和Rdit上有很多关于root密码的讨论,值得一读。
下一步就需要更新软件库并升级系统、应用最新的补丁。我们后面有个章节专门介绍如何自动安装安全更新。
添加用户永远不要以root登录服务器。在用户名方面我们跟Bryan遵循类似的惯例,但是你可以根据自己的喜好使用任何惯例。在小团队里,大家共用一个用户名不是问题;但是队伍再大一些的话,最好是给不同的用户设定不同的权限级别,只给精心挑选的少数用户赋予sudo权限。
记住,chmod表示“所有者可以读、写、执行”。我们现在还在root帐号下,马上就要将此文件夹设为属于dploy用户和dploy组,只有这个用户对.ssh文件夹有完全控制权。
使用sshky验证我们倾向于避免用密码登录服务器。Bryan当初那份指南发表后,关于这个话题有很多讨论,但我愿意加入这个阵营。下面是一些要点:
1.sshkys比密码更好,因为它包含并要求更多信息;
2.密码可以被暴力破解,猜测一个公钥基本上不可能,可以认为是完美的安全措施;
3.电脑丢失了怎么办?是的,你的私钥到了别人手里。不过废除ssh-ky很容易,只需要将公钥从authorizd_kys里删除。你还应该给你的私钥加上安全的、足够长的密码短语。见下一条;
4.以上这些都好用的前提是:必须用安全的、足够长的密码短语来保护你的私钥。重要的事情至少说两遍。
好了,我们把服务器密码验证抛到脑后吧。把你电脑里的id_rsa.pub的内容复制到服务器的authorizdkys文件里。
chmod将文件权限设为“仅所有者可读”。第二个命令chown,使用户dploy和组dpoly成为它们家目录的所有者。我们先前提到过这个,记得吗?在设这这个目录权限为“所有者可以读、写、执行”的时候。
我们顺利测试dploy用户并设置sudo之后,再回来禁止root登录和强制实行仅密钥认证。
测试dploy用户、设置sudoW’rgoingtotstlogginginasdploy,whilkpingoursshconnctionasrootopnjustincas.Ifitworks,w’llusouropnconnctionasrootusrtostapasswordfordploy.Sincw’rdisablingpasswordlogins,thispasswordwillbusdwhnsudo-ing.Againwusapwmanagrtocrata北京白斑病医院哪家医院能够治好白癜风