linux服务器安全

前言

笔者因服务器被攻击，特此整理分享。进入主题如下：

修改核心配置时，建议 先备份原始文件。修改配置和重启服务后，先在新的终端尝试连接服务器，确认无误后，再退出当前的连接。如果错误修改了配置，当前连接状态通常不会掉，能及时改回来。

mkdir backup
sudo cp /etc/ssh/sshd_config ./backup

此外，这些策略更多是防止网络攻击，而不影响机房对服务器的连接。比如禁用 Root 密码登录后，仍可以正常使用云服务器的“远程登录”。同理，机房登录服务器也不受影响。

禁用 root 密码登录

sudo vim /etc/ssh/sshd_config

输入 /Permi 回车检索，找到 PermitRootLogin，将其注释掉

# PermitRootLogin prohibit-password

然后重启 sshd 服务

sudo systemctl restart sshd

禁用普通用户密码登录

vim /etc/ssh/sshd_config

检索并修改参数为 PasswordAuthentication no，然后重启 ssh 服务。

禁用所有用户密码登录太严厉了，也可以检索 Match User，对某用户增加密码登录权限。

这段代码通常在最后：

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

# 修改成如下即可
Match User username
    PasswordAuthentication yes

更改默认 ssh 端口

默认的 ssh 端口号是 22。SSH 的端口一般建议把它改成一个大于 1024 小于 65535 的整数。举个例子，比如改为 1234

vim 检索 /etc/ssh/sshd_config 的 Port 参数，更改如下

Port 1234

# 重启 ssh 服务生效。
sudo systemctl restart ssh
sudo systemctl status ssh

注: 需在防火墙中加入1234端口，否则远程ssh连不上

创建用户名时，应避免使用常见名词，如 test 之类。攻击者通常会对 IP 进行批量无差别攻击，由于对个体信息缺少了解，它们只能用常见词表来尝试用户名。

开启防火墙

部署服务公开的服务器，建议开启防火墙，这样可以增加一层保护，对当前开放的端口有更好的把控。个人使用服务器为方便起见，考虑暂不启用。

# 查看防火墙是否安装
which ufw  # /usr/sbin/ufw
# 如没有，安装
sudo apt-get install ufw

防火墙常用命令

sudo ufw status # 查看当前状态 | inactive 代表关闭
sudo ufw enable # 开启防火墙
sudo ufw disable # 关闭防火墙
sudo ufw status numbered # 显示序号，作为 delete 操作的索引
sudo ufw delete <数字> # 删除第几个规则
# 删除规则更建议的方式，用 delete + 规则
sudo ufw delete allow 22 # 删除规则 allow 22
sudo ufw delete allow 22/tcp # 删除规则 allow 22/tcp
sudo ufw default deny incoming # 禁止所有进站的流量
sudo ufw default allow outgoing # 允许所有出站的流量

如果前边更改了 ssh 端口为 1234，则这里执行

sudo ufw allow 1234/tcp comment "this is for ssh"
sudo ufw delete 22

密码复杂度策略

除了禁用登录，也可以采用相对温和的策略来防止穷举：通过修改 PAM（Pluggable Authentication Modules）来设置用户密码的强度、长度和重试间隔。

设置密码强度

这部分参考了 How to enable and enforce secure password policies on Ubuntu。

安全起见，先备份原始文件

mkdir -p backup
sudo cp /etc/pam.d/common-password ./backup/

安装相关依赖

sudo apt install libpam-pwquality -y

这是原始文件 /etc/pam.d/common-password 的部分内容

# here's the fallback if no module succeeds
password        requisite                       pam_deny.so

将 requisite 所在行修改为

password    requisite    pam_pwquality.so retry=3 minlen=8 difok=3

requisite 常用参数的解释：

• retry=N：限制用户在输入错误密码后可以再次尝试的次数。
• minlen=N：指定密码的最小长度。
• difok=N：指定密码中必须包含的不同字符数。
• ucredit=-N：指定密码中必须包含的大写字母数。
• lcredit=-N：指定密码中必须包含的小写字母数。
• dcredit=-N：指定密码中必须包含的数字数。
• ocredit=-N：指定密码中必须包含的特殊字符数。

注意这些参数中的 -N 表示至少需要包含 N 个字符，而省略符号 - 则表示必须刚好包含 N 个字符。

对于新用户，上述设置将立即生效。对于现有用户，他们的密码策略将在下一次更改密码时应用

设置重试间隔

我们要用到一个 pam_fallock 的模块。

auth   required      pam_faillock.so preauth silent audit deny=3 unlock_time=1200
auth   [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600

禁用 Ping

除了加强服务器自身的安全防护，还可以用禁 ping 的方式避免服务器被穷举搜索到。

StackExchange 上给了很多种方案：How to Disable Ping Response (ICMP echo) in Linux all the time?

这里采用 Iptables 方法来弄，执行

iptables -I INPUT -p icmp --icmp-type echo-request -j DROP

在服务器上 ping 自己，ping 域名，ping IP，发现已经 ping 不通了。

iptables 还有其他规则和用法，后边有空再补充更新。

Fail2ban 防扫描和暴力破解

需要更新补充

小结

笔者因为发布的模型部署在自己的服务器上被攻击，特此总结。规避了大部分攻击，目前项目已经正常运转。后续接触到其他重要的安全策略，再来进行补充。