閱讀205 返回首頁    go 阿裏雲 go 技術社區[雲棲]

Linux 服務器安全簡明指南

現在讓我們強化你的服務器以防止未授權訪問。

經常升級係統

保持最新的軟件是你可以在任何操作係統上采取的最大的安全預防措施。軟件更新的範圍從關鍵漏洞補丁到小 bug 的修複,許多軟件漏洞實際上是在它們被公開的時候得到修補的。

自動安全更新

有一些用於服務器上自動更新的參數。Fedora 的 Wiki 上有一篇很棒的剖析自動更新的利弊的文章,但是如果你把它限製到安全更新上,自動更新的風險將是最小的。

自動更新的可行性必須你自己判斷,因為它歸結為在你的服務器上做什麼。請記住,自動更新僅適用於來自倉庫的包,而不是自行編譯的程序。你可能會發現一個複製了生產服務器的測試環境是很有必要的。可以在部署到生產環境之前,在測試環境裏麵更新來檢查問題。

添加一個受限用戶賬戶

到目前為止,你已經作為 root 用戶訪問了你的服務器,它有無限製的權限,可以執行任何命令 - 甚至可能意外中斷你的服務器。 我們建議創建一個受限用戶帳戶,並始終使用它。 管理任務應該使用 sudo來完成,它可以臨時提升受限用戶的權限,以便管理你的服務器。

不是所有的 Linux 發行版都在係統上默認包含 sudo,但大多數都在其軟件包倉庫中有 sudo。 如果得到這樣的輸出 sudo:command not found,請在繼續之前安裝 sudo

要添加新用戶,首先通過 SSH 登錄到你的服務器。

CentOS / Fedora

1、 創建用戶,用你想要的名字替換 example_user,並分配一個密碼:



  1. useradd example_user && passwd example_user


2、 將用戶添加到具有 sudo 權限的 wheel 組:




  1. usermod -aG wheel example_user



Ubuntu


1、 創建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:




  1. adduser example_user


2、 添加用戶到 sudo 組,這樣你就有管理員權限了:




  1. adduser example_user sudo



Debian


1、 Debian 默認的包中沒有 sudo, 使用 apt-get 來安裝:




  1. apt-get install sudo


2、 創建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:




  1. adduser example_user


3、 添加用戶到 sudo 組,這樣你就有管理員權限了:




  1. adduser example_user sudo


創建完有限權限的用戶後,斷開你的服務器連接:




  1. exit


重新用你的新用戶登錄。用你的用戶名代替 example_user,用你的服務器 IP 地址代替例子中的 IP 地址:




  1. ssh example_user@203.0.113.10


現在你可以用你的新用戶帳戶管理你的服務器,而不是 root。 幾乎所有超級用戶命令都可以用sudo(例如:sudo iptables -L -nv)來執行,這些命令將被記錄到 /var/log/auth.log 中。



加固 SSH 訪問


默認情況下,密碼認證用於通過 SSH 連接到您的服務器。加密密鑰對更加安全,因為它用私鑰代替了密碼,這通常更難以暴力破解。在本節中,我們將創建一個密鑰對,並將服務器配置為不接受 SSH 密碼登錄。



創建驗證密鑰對


1、這是在你本機上完成的,不是在你的服務器上,這裏將創建一個 4096 位的 RSA 密鑰對。在創建過程中,您可以選擇使用密碼加密私鑰。這意味著它不能在沒有輸入密碼的情況下使用,除非將密碼保存到本機桌麵的密鑰管理器中。我們建議您使用帶有密碼的密鑰對,但如果你不想使用密碼,則可以將此字段留空。


Linux / OS X




如果你已經創建了 RSA 密鑰對,則這個命令將會覆蓋它,這可能會導致你不能訪問其它的操作係統。如果你已創建過密鑰對,請跳過此步驟。要檢查現有的密鑰,請運行 ls〜/ .ssh / id_rsa *






  1. ssh-keygen -b 4096


在輸入密碼之前,按下 回車使用 /home/your_username/.ssh 中的默認名稱 id_rsa 和id_rsa.pub


Windows


這可以使用 PuTTY 完成,在我們指南中已有描述:使用 SSH 公鑰驗證


2、將公鑰上傳到您的服務器上。 將 example_user 替換為你用來管理服務器的用戶名稱,將203.0.113.10 替換為你的服務器的 IP 地址。


Linux


在本機上:




  1. ssh-copy-id example_user@203.0.113.10


OS X


在你的服務器上(用你的權限受限用戶登錄):




  1. mkdir -p ~/.ssh && sudo chmod -R 700 ~/.ssh/


在本機上:




  1. scp ~/.ssh/id_rsa.pub example_user@203.0.113.10:~/.ssh/authorized_keys




如果相對於 scp 你更喜歡 ssh-copy-id 的話,那麼它也可以在 Homebrew 中找到。使用 brew install ssh-copy-id 安裝。




Windows


    

  • 

    選擇 1:使用 WinSCP 來完成。 在登錄窗口中,輸入你的服務器的 IP 地址作為主機名,以及非 root 的用戶名和密碼。單擊“登錄”連接。
    

    一旦 WinSCP 連接後,你會看到兩個主要部分。 左邊顯示本機上的文件,右邊顯示服務區上的文件。 使用左側的文件瀏覽器,導航到你已保存公鑰的文件,選擇公鑰文件,然後點擊上麵工具欄中的“上傳”。
    

    係統會提示你輸入要將文件放在服務器上的路徑。 將文件上傳到 /home/example_user/.ssh /authorized_keys,用你的用戶名替換 example_user
    

    • 

  • 

    選擇 2:將公鑰直接從 PuTTY 鍵生成器複製到連接到你的服務器中(作為非 root 用戶):
    

    

    1. mkdir ~/.ssh; nano ~/.ssh/authorized_keys
    

    上麵命令將在文本編輯器中打開一個名為 authorized_keys 的空文件。 將公鑰複製到文本文件中,確保複製為一行,與 PuTTY 所生成的完全一樣。 按下 CTRL + X,然後按下 Y,然後回車保存文件。
    

    • 



最後,你需要為公鑰目錄和密鑰文件本身設置權限:




  1. sudo chmod 700 -R ~/.ssh && chmod 600 ~/.ssh/authorized_keys


這些命令通過阻止其他用戶訪問公鑰目錄以及文件本身來提供額外的安全性。有關它如何工作的更多信息,請參閱我們的指南如何修改文件權限


3、 現在退出並重新登錄你的服務器。如果你為私鑰指定了密碼,則需要輸入密碼。



SSH 守護進程選項


1、 不允許 root 用戶通過 SSH 登錄。 這要求所有的 SSH 連接都是通過非 root 用戶進行。當以受限用戶帳戶連接後,可以通過使用 sudo 或使用 su - 切換為 root shell 來使用管理員權限。




    

  1. # Authentication:
    2. 

  2. ...
    3. 

  3. PermitRootLogin no
    4. 



2、 禁用 SSH 密碼認證。 這要求所有通過 SSH 連接的用戶使用密鑰認證。根據 Linux 發行版的不同,它可能需要添加 PasswordAuthentication 這行,或者刪除前麵的 # 來取消注釋。




    

  1. # Change to no to disable tunnelled clear text passwords
    2. 

  2. PasswordAuthentication no
    3. 





如果你從許多不同的計算機連接到服務器,你可能想要繼續啟用密碼驗證。這將允許你使用密碼進行身份驗證,而不是為每個設備生成和上傳密鑰對。




3、 隻監聽一個互聯網協議。 在默認情況下,SSH 守護進程同時監聽 IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協議進入你的服務器,否則就禁用你不需要的。 這不會禁用係統範圍的協議,它隻用於 SSH 守護進程。


使用選項:


    

  • 
AddressFamily inet 隻監聽 IPv4。
    • 

  • 
AddressFamily inet6 隻監聽 IPv6。
    • 



默認情況下,AddressFamily 選項通常不在 sshd_config 文件中。將它添加到文件的末尾:




  1. echo 'AddressFamily inet' | sudo tee -a /etc/ssh/sshd_config


4、 重新啟動 SSH 服務以加載新配置。


如果你使用的 Linux 發行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)




  1. sudo systemctl restart sshd


如果您的 init 係統是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04):


sudo service ssh restart




使用 Fail2Ban 保護 SSH 登錄


Fail2Ban 是一個應用程序,它會在太多的失敗登錄嚐試後禁止 IP 地址登錄到你的服務器。由於合法登錄通常不會超過三次嚐試(如果使用 SSH 密鑰,那不會超過一個),因此如果服務器充滿了登錄失敗的請求那就表示有惡意訪問。


Fail2Ban 可以監視各種協議,包括 SSH、HTTP 和 SMTP。默認情況下,Fail2Ban 僅監視 SSH,並且因為 SSH 守護程序通常配置為持續運行並監聽來自任何遠程 IP 地址的連接,所以對於任何服務器都是一種安全威懾。


有關安裝和配置 Fail2Ban 的完整說明,請參閱我們的指南:使用 Fail2ban 保護服務器



刪除未使用的麵向網絡的服務


大多數 Linux 發行版都安裝並運行了網絡服務,監聽來自互聯網、回環接口或兩者兼有的傳入連接。 將不需要的麵向網絡的服務從係統中刪除,以減少對運行進程和對已安裝軟件包攻擊的概率。



查明運行的服務


要查看服務器中運行的服務:




  1. sudo netstat -tulpn




如果默認情況下 netstat 沒有包含在你的 Linux 發行版中,請安裝軟件包 net-tools 或使用 ss -tulpn 命令。




以下是 netstat 的輸出示例。 請注意,因為默認情況下不同發行版會運行不同的服務,你的輸出將有所不同:




    

  1. Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
    2. 

  2. tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 7315/rpcbind
    3. 

  3. tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3277/sshd
    4. 

  4. tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3179/exim4
    5. 

  5. tcp 0 0 0.0.0.0:42526 0.0.0.0:* LISTEN 2845/rpc.statd
    6. 

  6. tcp6 0 0 :::48745 :::* LISTEN 2845/rpc.statd
    7. 

  7. tcp6 0 0 :::111 :::* LISTEN 7315/rpcbind
    8. 

  8. tcp6 0 0 :::22 :::* LISTEN 3277/sshd
    9. 

  9. tcp6 0 0 ::1:25 :::* LISTEN 3179/exim4
    10. 

  10. udp 0 0 127.0.0.1:901 0.0.0.0:* 2845/rpc.statd
    11. 

  11. udp 0 0 0.0.0.0:47663 0.0.0.0:* 2845/rpc.statd
    12. 

  12. udp 0 0 0.0.0.0:111 0.0.0.0:* 7315/rpcbind
    13. 

  13. udp 0 0 192.0.2.1:123 0.0.0.0:* 3327/ntpd
    14. 

  14. udp 0 0 127.0.0.1:123 0.0.0.0:* 3327/ntpd
    15. 

  15. udp 0 0 0.0.0.0:123 0.0.0.0:* 3327/ntpd
    16. 

  16. udp 0 0 0.0.0.0:705 0.0.0.0:* 7315/rpcbind
    17. 

  17. udp6 0 0 :::111 :::* 7315/rpcbind
    18. 

  18. udp6 0 0 fe80::f03c:91ff:fec:123 :::* 3327/ntpd
    19. 

  19. udp6 0 0 2001:DB8::123 :::* 3327/ntpd
    20. 

  20. udp6 0 0 ::1:123 :::* 3327/ntpd
    21. 

  21. udp6 0 0 :::123 :::* 3327/ntpd
    22. 

  22. udp6 0 0 :::705 :::* 7315/rpcbind
    23. 

  23. udp6 0 0 :::60671 :::* 2845/rpc.statd
    24. 



netstat 告訴我們服務正在運行 RPCrpc.statd 和 rpcbind)、SSH(sshd)、NTPdatentpd)和Eximexim4)。


TCP


請參閱 netstat 輸出的 Local Address 那一列。進程 rpcbind 正在偵聽 0.0.0.0:111 和:::111,外部地址是 0.0.0.0:* 或者 :::* 。這意味著它從任何端口和任何網絡接口接受來自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶端的傳入 TCP 連接。 我們看到類似的 SSH,Exim 正在偵聽來自回環接口的流量,如所示的 127.0.0.1 地址。


UDP


UDP 套接字是無狀態的,這意味著它們隻有打開或關閉,並且每個進程的連接是獨立於前後發生的連接。這與 TCP 的連接狀態(例如 LISTENESTABLISHED和 CLOSE_WAIT)形成對比。


我們的 netstat輸出說明 NTPdate :1)接受服務器的公網 IP 地址的傳入連接;2)通過本地主機進行通信;3)接受來自外部的連接。這些連接是通過端口 123 進行的,同時支持 IPv4 和 IPv6。我們還看到了 RPC 打開的更多的套接字。



查明該移除哪個服務


如果你在沒有啟用防火牆的情況下對服務器進行基本的 TCP 和 UDP 的 nmap 掃描,那麼在打開端口的結果中將出現 SSH、RPC 和 NTPdate 。通過配置防火牆,你可以過濾掉這些端口,但 SSH 除外,因為它必須允許你的傳入連接。但是,理想情況下,應該禁用未使用的服務。


    

  • 你可能主要通過 SSH 連接管理你的服務器,所以讓這個服務需要保留。如上所述,RSA 密鑰和 Fail2Ban 可以幫助你保護 SSH。
    • 

  • NTP 是服務器計時所必需的,但有個替代 NTPdate 的方法。如果你喜歡不開放網絡端口的時間同步方法,並且你不需要納秒精度,那麼你可能有興趣用 OpenNTPD 來代替 NTPdate。
    • 

  • 然而,Exim 和 RPC 是不必要的,除非你有特定的用途,否則應該刪除它們。
    • 





本節針對 Debian 8。默認情況下,不同的 Linux 發行版具有不同的服務。如果你不確定某項服務的功能,請嚐試搜索互聯網以了解該功能是什麼,然後再嚐試刪除或禁用它。





卸載監聽的服務


如何移除包取決於發行版的包管理器:


Arch




  1. sudo pacman -Rs package_name


CentOS




  1. sudo yum remove package_name


Debian / Ubuntu




  1. sudo apt-get purge package_name


Fedora




  1. sudo dnf remove package_name


再次運行 sudo netstat -tulpn,你看到監聽的服務就隻會有 SSH(sshd)和 NTP(ntpdate,網絡時間協議)。



配置防火牆


使用防火牆阻止不需要的入站流量能為你的服務器提供一個高效的安全層。 通過指定入站流量,你可以阻止入侵和網絡測繪。 最佳做法是隻允許你需要的流量,並拒絕一切其他流量。請參閱我們的一些關於最常見的防火牆程序的文檔:


    

  • 
iptables 是 netfilter 的控製器,它是 Linux 內核的包過濾框架。 默認情況下,iptables 包含在大多數 Linux 發行版中。
    • 

  • 
firewallD 是可用於 CentOS/Fedora 係列發行版的 iptables 控製器。
    • 

  • 
UFW 為 Debian 和 Ubuntu 提供了一個 iptables 前端。
    • 




接下來


這些是加固 Linux 服務器的最基本步驟,但是進一步的安全層將取決於其預期用途。 其他技術可以包括應用程序配置,使用入侵檢測或者安裝某個形式的訪問控製


現在你可以按你的需求開始設置你的服務器了。




原文發布時間為:2017-12-30


本文來自雲棲社區合作夥伴“Linux中國”




最後更新:2017-05-31 11:04:20
  上一篇:go  如何用Word2vec輕鬆處理新金融風控場景中的文本類數據
  下一篇:go  盤點美國七大最嚴重的政府數據泄露事件