让Linux服务器更加安全的技巧有哪些

发布时间：2022-07-14 16:49:18 所属栏目：Linux 来源：互联网

导读：1、更新你的服务器保护服务器安全的第一件事是更新本地存储库，并通过应用最新的修补程序来升级操作系统和已安装的应用程序。在 Ubuntu 和 Debian 上： 1. $ sudo apt update sudo apt upgrade -y 在 Fedora、CentOS 或 RHEL： 1. $ sudo dnf upgrade 2、

　　1、更新你的服务器
　　保护服务器安全的第一件事是更新本地存储库，并通过应用最新的修补程序来升级操作系统和已安装的应用程序。

　　在 Ubuntu 和 Debian 上：

　　1. $ sudo apt update && sudo apt upgrade -y

　　在 Fedora、CentOS 或 RHEL：

　　1. $ sudo dnf upgrade

　　2、创建一个新的特权用户
　　接下来，创建一个新的用户帐户。永远不要以 root 身份登录服务器，而是创建你自己的帐户(用户)，赋予它 sudo 权限，然后使用它登录你的服务器。

　　首先创建一个新用户：

　　1. $ adduser <username>

　　通过将 sudo 组(-G)附加(-a)到用户的组成员身份里，从而授予新用户帐户 sudo 权限：

　　3、上传你的 SSH 密钥
　　你应该使用 SSH 密钥登录到新服务器。你可以使用 ssh-copy-id 命令将预生成的 SSH 密钥上传到你的新服务器：

　　1. $ ssh-copy-id <username>@ip_address

　　现在，你无需输入密码即可登录到新服务器。

　　4、安全强化 SSH
　　接下来，进行以下三个更改：

　　◈ 禁用 SSH 密码认证◈ 限制 root 远程登录◈ 限制对 IPv4 或 IPv6 的访问

　　使用你选择的文本编辑器打开 /etc/ssh/sshd_config 并确保以下行：

　　1. PasswordAuthentication yes

　　2. PermitRootLogin yes

　　改成这样：

　　1. PasswordAuthentication no

　　2. PermitRootLogin no

　　接下来，通过修改 AddressFamily 选项将 SSH 服务限制为 IPv4 或 IPv6。要将其更改为仅使用 IPv4(对大多数人来说应该没问题)，请进行以下更改：

　　1. AddressFamily inet

　　重新启动 SSH 服务以启用你的更改。请注意，在重新启动 SSH 服务之前，与服务器建立两个活动连接是一个好主意。有了这些额外的连接，你可以在重新启动 SSH 服务出错的情况下修复所有问题。

　　在 Ubuntu 上：

　　1. $ sudo service sshd restart

　　5、启用防火墙
　　现在，你需要安装防火墙、启用防火墙并对其进行配置，以仅允许你指定的网络流量通过。(Ubuntu 上的)简单的防火墙(UFW)是一个易用的 iptables 界面，可大大简化防火墙的配置过程。

　　你可以通过以下方式安装 UFW：

　　1. $ sudo apt install ufw

　　默认情况下，UFW 拒绝所有传入连接，并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网，但是任何尝试访问服务器的内容都无法连接。

　　首先，确保你可以通过启用对 SSH、HTTP 和 HTTPS 的访问来登录：

　　1. $ sudo ufw allow ssh

　　2. $ sudo ufw allow http

　　3. $ sudo ufw allow https

　　然后启用 UFW：

　　1. $ sudo ufw enable

　　你可以通过以下方式查看允许和拒绝了哪些服务：

　　1. $ sudo ufw status

　　如果你想禁用 UFW，可以通过键入以下命令来禁用：

　　1. $ sudo ufw disable

　　你还可以(在 RHEL/CentOS 上)使用 firewall-cmd，它已经安装并集成到某些发行版中。

　　6、安装 Fail2ban
　　Fail2ban 是一种用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何攻击，它会更改防火墙以永久地或在指定的时间内阻止攻击者的 IP 地址。

　　你可以通过键入以下命令来安装 Fail2ban：

　　1. $ sudo apt install fail2ban -y

　　然后复制随附的配置文件：

　　1. $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

　　重启 Fail2ban：

　　1. $ sudo service fail2ban restart

　　这样就行了。该软件将不断检查日志文件以查找攻击。一段时间后，该应用程序将建立相当多的封禁的 IP 地址列表。你可以通过以下方法查询 SSH 服务的当前状态来查看此列表：

　　1. $ sudo fail2ban-client status ssh

　　7、移除无用的网络服务
　　几乎所有 Linux 服务器操作系统都启用了一些面向网络的服务。你可能希望保留其中大多数，然而，有一些你或许希望删除。你可以使用 ss 命令查看所有正在运行的网络服务：(LCTT 译注：应该是只保留少部分，而所有确认无关的、无用的服务都应该停用或删除。)

　　1. $ sudo ss -atpu

　　ss 的输出取决于你的操作系统。下面是一个示例，它显示 SSH(sshd)和 Ngnix(nginx)服务正在侦听网络并准备连接：

　　1. tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))

　　2. tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

　　删除未使用的服务的方式因你的操作系统及其使用的程序包管理器而异。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

Linux内核模块管理查看	教你如何提升Linux服务
Linux 开发工具推荐	Linux系统下MTDCFI驱动