本文将向您介绍基本的Linux服务器安全保护措施,侧重于Debian/Ubuntu,但是您可以将本文介绍的所有内容应用于其他Linux发行版。
1.更新你的服务器
要保护服务器,您应该做的第一件事是更新本地存储库,并通过应用最新的补丁来升级操作系统和已安装的应用程序。
关于Ubuntu和Debian:
$sudoaptupdatesudoaptupgrade-y
在Fedora,CentOS或RHEL上:
$sudodnfupgrade
2.创建一个新的特权用户帐户
接下来,创建一个新的用户帐户。永远不要以root用户身份登录服务器。相反,创建您自己的帐户(user),赋予它sudo权限,并使用它登录到您的服务器。
首先创建一个新用户:
$adduser用户名
通过将(-a)sudo组(-G)附加到用户的组成员身份,授予新用户帐户sudo权限:
$usermod-a-Gsudo用户名
3.上传您的SSH密钥
使用SSH密钥登录到新服务器。您可以使用ssh-copy-id命令将预先生成的SSH密钥上传到新服务器:
$ssh-copy-id
ip_address现在,您无需输入密码即可登录新服务器。
4.安全的SSH
接下来,进行以下三个更改:
禁用SSH密码认证
限制root远程登录
限制对IPv4或IPv6的访问
使用您选择的文本编辑器打开/etc/ssh/sshd_config并确保以下行:
PasswordAuthenticationyesPermitRootLoginyes
像这样:
PasswordAuthenticationnoPermitRootLoginno
接下来,通过修改AddressFamily选项将SSH服务限制为IPv4或IPv6。要将其更改为仅使用IPv4(对大多数人来说应该没问题),请进行以下更改:
AddressFamilyinet
重新启动SSH服务以启用您的更改。请注意,在重新启动SSH服务器之前,与服务器建立两个活动连接。有了额外的连接,您可以在重新启动出错的情况下修复所有问题。
在Ubuntu上:
$sudoservicesshdrestart
在Fedora或CentOS或任何使用Systemd的系统上:
$sudosystemctlrestartsshd
5.启用防火墙
安装防火墙,启用防火墙并对其进行配置,以仅允许您指定的网络流量。简易防火墙(UFW)是iptables的易于使用的界面,可大大简化防火墙的配置过程。
您可以通过以下方式安装UFW:
$sudoaptinstallufw
默认情况下,UFW拒绝所有传入连接,并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网,但是任何尝试访问服务器的内容都无法连接。
首先,确保您可以通过启用对SSH、HTTP和HTTPS的访问来登录:
$sudoufwallowssh$sudoufwallow治白癜风西宁哪家医院好治白癜风最便宜的医院