linux服务器重启步骤
本入门将向您介绍基本的Linux服务器安全性。 虽然它专注于Debian / Ubuntu,但是您可以将此处介绍的所有内容应用于其他Linux发行版。 我也鼓励您研究此材料并在适用的情况下进行扩展。
保护服务器安全的第一件事是通过应用最新的补丁程序更新本地存储库并升级操作系统和已安装的应用程序。
在Ubuntu和Debian上:
$ sudo apt update && sudo apt upgrade -y
在Fedora,CentOS或RHEL上:
$ sudo dnf upgrade
接下来,创建一个新的用户帐户。 您永远不要以root用户身份登录服务器。 而是创建您自己的帐户(“
首先创建一个新用户:
$ adduser < username >
通过将( -a ) sudo组( -G )附加到用户的组成员身份,授予新用户帐户sudo权限:
$ usermod -a -G sudo < username >
您将要使用SSH密钥登录到新服务器。 您可以使用ssh-copy-id命令将预先生成的SSH密钥上传到新服务器:
$ ssh-copy-id < username >@ ip_address
现在,您无需输入密码即可登录新服务器。
接下来,进行以下三个更改:
使用您选择的文本编辑器打开/ etc / ssh / sshd_config并确保以下行:
PasswordAuthentication
yes
PermitRootLogin
yes
看起来像这样:
PasswordAuthentication no
PermitRootLogin no
接下来,通过修改AddressFamily选项将SSH服务限制为IPv4或IPv6。 要将其更改为仅使用IPv4(对大多数人来说应该没问题),请进行以下更改:
AddressFamily inet
重新启动SSH服务以启用您的更改。 请注意,在重新启动SSH服务器之前,与服务器建立两个活动连接是一个好主意。 有了额外的连接,您可以在重新启动出错的情况下修复所有问题。
在Ubuntu上:
$ sudo service sshd restart
在Fedora或CentOS或任何使用Systemd的系统上:
$ sudo systemctl restart sshd
现在,您需要安装防火墙,启用防火墙并对其进行配置,以仅允许您指定的网络流量。 简易防火墙 (UFW)是iptables的易于使用的界面,可大大简化防火墙的配置过程。
您可以通过以下方式安装UFW:
$ sudo apt install ufw
默认情况下,UFW拒绝所有传入连接并允许所有传出连接。 这意味着服务器上的任何应用程序都可以访问Internet,但是任何尝试访问服务器的应用程序都无法连接。
首先,确保您可以通过启用对SSH,HTTP和HTTPS的访问来登录:
$
sudo ufw allow
ssh
$
sudo ufw allow http
$
sudo ufw allow https
然后启用UFW:
$ sudo ufw enable
您可以通过以下方式查看允许和拒绝哪些服务:
$ sudo ufw status
如果您想禁用UFW,可以通过键入以下内容来禁用:
$ sudo ufw disable
您还可以使用已经安装并集成到某些发行版中的firewall-cmd 。
Fail2ban是一个用于检查服务器日志以查找重复或自动攻击的应用程序。 如果找到任何内容,它将更改防火墙以永久地或在指定的时间内阻止攻击者的IP地址。
您可以通过键入以下内容来安装Fail2ban:
$ sudo apt install fail2ban -y
然后复制随附的配置文件:
$ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.local
并重新启动Fail2ban:
$ sudo service fail2ban restart
这里的所有都是它的。 该软件将不断检查日志文件以查找攻击。 一段时间后,该应用程序将建立相当多的禁用IP地址列表。 您可以通过以下方法请求SSH服务的当前状态来查看此列表:
$ sudo fail2ban-client status ssh
几乎所有Linux服务器操作系统都启用了一些面向网络的服务。 您将希望保留其中大多数。 但是,您可能要删除一些。 您可以使用ss命令查看所有正在运行的网络服务:
$ sudo ss -atpu
ss的输出将取决于您的操作系统。 这是您可能看到的示例。 它显示SSH(sshd)和Ngnix(nginx)服务正在侦听并准备连接:
tcp LISTEN
0
128
* :http
* :
* users:
(
(
"nginx" ,
pid =
22563 ,
fd =
7
)
)
tcp LISTEN
0
128
* :ssh
* :
* users:
(
(
"sshd" ,
pid =
685 ,
fd =
3
)
)
删除未使用的服务(“
要删除Debian / Ubuntu上未使用的服务:
$ sudo apt purge < service_name >
要在Red Hat / CentOS上删除未使用的服务:
$ sudo yum remove < service_name >
再次使用ss -atup来验证未使用的服务是否不再安装和运行。
本教程介绍了加固Linux服务器所需的最低要求。 根据使用服务器的方式,可以并且应该启用其他安全层。 这些层可以包括诸如单个应用程序配置,入侵检测软件以及启用访问控制(例如,两因素身份验证)之类的东西。
翻译自: https://opensource.com/article/19/10/linux-server-security
linux服务器重启步骤