掩护Linux处事器的7个步调

本文将向您先容根基的Linux处事器安详掩护法子，偏重于Debian/Ubuntu，可是您可以将本文先容的全部内容应用于其他Linux刊行版。

1. 更新你的处事器

要掩护处事器，您应该做的第一件事是更新当地存储库，并通过应用新的补丁来进级操纵体系和已安装的应用措施。

关于Ubuntu和Debian:

$ sudo apt update && sudo apt upgrade -y

在Fedora，CentOS或RHEL上：

$ sudo dnf upgrade

2. 建设一个新的特权用户帐户

接下来，建设一个新的用户帐户。永久不要以root用户身份登录处事器。相反，建设您本身的帐户()，赋予它sudo权限，并行使它登录到您的处事器。

起首建设一个新用户：

$ adduser <用户名>

通过将(-a)sudo组(-G)附加到用户的构成员身份，授予新用户帐户sudo权限：

$ usermod -a -G sudo <用户名>

3.上传您的SSH密钥

行使SSH密钥登录到新处事器。您可以行使ssh-copy-id呼吁将预天赋生的SSH密钥上传到新处事器：

$ ssh-copy-id

@ip_address

此刻，您无需输入暗码即可登录新处事器。

4. 安详的SSH

接下来，举办以下三个变动：

禁用SSH暗码认证

限定root长途登录

限定对IPv4或IPv6的会见

行使您选择的文本编辑器打开/ etc / ssh / sshd_config并确保以下行：

PasswordAuthentication yes

PermitRootLogin yes

像这样：

PasswordAuthentication no

PermitRootLogin no

接下来，通过修改AddressFamily选项将SSH处事限定为IPv4或IPv6 。要将其变动为仅行使IPv4(对大大都人来说应该没题目)，请举办以下变动：

AddressFamily inet

从头启动SSH处事以启用您的变动。请留意，在从头启动SSH处事器之前，与处事器成立两个勾当毗连。有了特另外毗连，您可以在从头启动堕落的环境下修复全部题目。

在Ubuntu上：

$ sudo service sshd restart

在Fedora或CentOS或任何行使Systemd的体系上：

$ sudo systemctl restart sshd

5. 启用防火墙

安装防火墙，启用防火墙并对其举办设置，以仅应承您指定的收集流量。浅显防火墙(UFW)是iptables的易于行使的界面，可大大简化防火墙的设置进程。

您可以通过以下方法安装UFW：

$ sudo apt install ufw

默认环境下，UFW拒绝全部传入毗连，并应承全部传出毗连。这意味着处事器上的任何应用措施都可以会见互联网，可是任何实行会见处事器的内容都无法毗连。

起首，确保您可以通过启用对SSH、HTTP和HTTPS的会见来登录：

$ sudo ufw allow ssh

$ sudo ufw allow http

$ sudo ufw allow https

然后启用UFW：

$ sudo ufw enable

您可以通过以下方法查察应承和拒绝哪些处事：

$ sudo ufw status

假如您想禁用UFW，可以通过键入以下内容来禁用：

$ sudo ufw disable

您也可以行使firewall-cmd，它已经安装并集成到某些刊行版中。

6. 安装Fail2ban

Fail2ban是一个用于检点处事器日记以查找一再或自动进攻的应用措施。假如找到任何内容，它将变动防火墙以永世地或在指定的时刻内阻止进攻者的IP地点。

您可以通过键入以下内容来安装Fail2ban：

$ sudo apt install fail2ban -y

然后复制随附的设置文件：

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

并从头启动Fail2ban：

$ sudo service fail2ban restart

该软件将不绝搜查日记文件以查找进攻。一段时刻后，该应用措施将成立许多的榨取IP地点列表。您可以通过以下要领哀求SSH处事的当前状态来查察此列表：

$ sudo fail2ban-client status ssh

7.删除未行使的面向收集的处事

险些全部Linux处事器操纵体系都启用了一些面向收集的处事。也许您但愿保存个中大大都，可是，必要删除一些内容。您可以行使ss呼吁查察全部正在运行的收集处事：

$ sudo ss -atpu

ss的输出将取决于您的操纵体系。这是您也许看到的示例。它表现SSH(sshd)和Ngnix(nginx)处事正在侦听并筹备毗连：

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))

tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

删除未行使的处事("")的方法将因您的操纵体系及其行使的措施包揽理器而异。

要删除Debian / Ubuntu上未行使的处事：

$ sudo apt purge

要在Red Hat / CentOS裳?佚未行使的处事：

$ sudo yum remove

再次运行ss -atup以确认不再安装和运行未行使的处事。

本文先容了掩护Linux处事器的一些根基步调。您还可以按照行使处事器的方法，启用其他安详要领，包罗单个应用措施设置、入侵检测软件以及启用会见节制(譬喻，双重身份验证)等成果。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!