Linux服務器安全簡明指南
現(xiàn)在讓我們強化你的服務器以防止未授權訪問。
經(jīng)常升級系統(tǒng)
將軟件更新到最新版本通常是任何操作系統(tǒng)所必需的安全預防措施。軟件在更新時通常會在大到關鍵漏洞補丁、小到bug修復的范圍內進行,很多漏洞實際上在被公布時就已經(jīng)被修復了。
自動安全更新
你可以調節(jié)服務器關于自動更新的的參數(shù)。Fedora 的 Wiki頁面上有一篇文章對自動更新進行了深入解讀,文章里提到我們可以通過調整參數(shù)為安全更新會把自動更新的風險降低至最少。
當然,是否選擇自動更新必須由你自己決定,因為這取決于你將要在你的服務器上進行何種工作。自動更新只能通過倉庫里的包才能進行,你自己編譯的程序可不能用。你會需要一個與生產環(huán)境一致的測試環(huán)境,在進行最終部署之前,一定要在測試環(huán)境確認無誤才行。
- CentOS 使用 yum-cron 進行自動更新。
- Debian 和 Ubuntu 使用 無人值守更新。
- Fedora 使用 dnf-automatic 。
添加一個受限用戶賬戶
我們假定你已經(jīng)使用 root 權限進入了服務器中,你此時擁有服務器的至高權限,一個不小心就會把服務器搞癱瘓。所以,你應該有一個受限制賬戶而不是一直使用 root 賬戶。這不會給你的操作帶來多大麻煩,因為你可以通過 sudo來進行任何你想要的操作。
有的發(fā)行版可能并不把 sudo設為默認選項,不過你還是可以在軟件包倉庫中找到。如果你獲得的提示是 sudo:command not found,請在繼續(xù)之前安裝 sudo。
記住,添加新用戶你要通過 SSH 登錄服務器才行。
CentOS / Fedora
1、 創(chuàng)建用戶,用你想要的名字替換 example_user,并分配一個密碼:
2、 將用戶添加到具有 sudo 權限的 wheel 組:
Ubuntu
1、 創(chuàng)建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:
2、 添加用戶到 sudo 組,這樣你就有管理員權限了:
Debian
1、 Debian 默認的包中沒有 sudo, 使用 apt-get 來安裝:
2、 創(chuàng)建用戶,用你想要的名字替換 example_user。你將被要求輸入用戶密碼:
3、 添加用戶到 sudo 組,這樣你就有管理員權限了:
創(chuàng)建完有限權限的用戶后,斷開你的服務器連接:
重新用你的新用戶登錄。用你的用戶名代替 example_user,用你的服務器 IP 地址代替例子中的 IP 地址:
現(xiàn)在你可以用你的新用戶帳戶管理你的服務器,而不是 root。 幾乎所有超級用戶命令都可以用 sudo(例如:sudo iptables -L -nv)來執(zhí)行,這些命令將被記錄到 /var/log/auth.log中。
加固 SSH 訪問
你可以使用密碼認證登錄服務器。但是更安全的方法是通過加密的密鑰對。你將徹底放棄密碼,用私鑰可以防止暴力破解。我們將告訴你如何創(chuàng)建密鑰對。
創(chuàng)建驗證密鑰對
1、創(chuàng)建密鑰對可以在你自己的電腦上完成,現(xiàn)在我們開始創(chuàng)建一個 4096 位的 RSA 密鑰對。即使有了密鑰,你仍然可以通過密碼方式加密你的私鑰,這樣除非你把密碼存在密鑰管理器里,不然就必須通過輸入正確的密碼使用你的私鑰。用了密碼能有一個雙重保險,不想用的話你直接把密碼字段留空就可以了。
Linux / OS X
現(xiàn)在我們開始第一步,請注意:如果你之前已經(jīng)創(chuàng)建過 RSA 密鑰對,則這個命令將會覆蓋它,帶來的結果很可能是你不能訪問其它的操作系統(tǒng)。如果你已創(chuàng)建過密鑰對,請?zhí)^此步驟。要檢查現(xiàn)有的密鑰,請運行 ls〜/ .ssh / id_rsa *。
在輸入密碼之前,按下 回車使用 /home/your_username/.ssh 中的默認名稱 id_rsa 和 id_rsa.pub。
Windows
這可以使用 PuTTY 完成,在我們指南中已有描述:使用 SSH 公鑰驗證。
2、將公鑰上傳到您的服務器上。 將 example_user 替換為你用來管理服務器的用戶名稱,將 203.0.113.10 替換為你的服務器的 IP 地址。
Linux
在本機上:
OS X
在你的服務器上(用你的權限受限用戶登錄):
在本機上:
如果相對于 scp 你更喜歡 ssh-copy-id 的話,那么它也可以在 Hemebrew 中找到。使用 brew install ssh-copy-id 安裝。
Windows
- 選擇 1:使用 WinSCP 來完成。 在登錄窗口中,輸入你的服務器的 IP 地址作為主機名,以及非 root 的用戶名和密碼。單擊“登錄”連接。
- 一旦 WinSCP 連接后,你會看到兩個主要部分。 左邊顯示本機上的文件,右邊顯示服務區(qū)上的文件。 使用左側的文件瀏覽器,導航到你已保存公鑰的文件,選擇公鑰文件,然后點擊上面工具欄中的“上傳”。
系統(tǒng)會提示你輸入要將文件放在服務器上的路徑。 將文件上傳到 /home/example_user/.ssh /authorized_keys,用你的用戶名替換 example_user。
- 選擇 2:將公鑰直接從 PuTTY 鍵生成器復制到連接到你的服務器中(作為非 root 用戶):
- 上面命令將在文本編輯器中打開一個名為 authorized_keys 的空文件。 將公鑰復制到文本文件中,確保復制為一行,與 PuTTY 所生成的完全一樣。 按下 CTRL + X,然后按下 Y,然后回車保存文件。
最后,你需要為公鑰目錄和密鑰文件本身設置權限:
這些命令通過阻止其他用戶訪問公鑰目錄以及文件本身來提供額外的安全性。有關它如何工作的更多信息,請參閱我們的指南如何修改文件權限。
3、 現(xiàn)在退出并重新登錄你的服務器。如果你為私鑰指定了密碼,則需要輸入密碼。
SSH 守護進程選項
1、 不允許 root 用戶通過 SSH 登錄。 這要求所有的 SSH 連接都是通過非 root 用戶進行。當以受限用戶帳戶連接后,可以通過使用 sudo 或使用 su - 切換為 root shell 來使用管理員權限。
2、 禁用 SSH 密碼認證。 這要求所有通過 SSH 連接的用戶使用密鑰認證。根據(jù) Linux 發(fā)行版的不同,它可能需要添加 PasswordAuthentication 這行,或者刪除前面的 # 來取消注釋。
如果你從許多不同的計算機連接到服務器,你可能想要繼續(xù)啟用密碼驗證。這將允許你使用密碼進行身份驗證,而不是為每個設備生成和上傳密鑰對。
3、 只監(jiān)聽一個互聯(lián)網(wǎng)協(xié)議。 在默認情況下,SSH 守護進程同時監(jiān)聽 IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協(xié)議進入你的服務器,否則就禁用你不需要的。 這不會禁用系統(tǒng)范圍的協(xié)議,它只用于 SSH 守護進程。
使用選項:
- AddressFamily inet 只監(jiān)聽 IPv4。
- AddressFamily inet6 只監(jiān)聽 IPv6。
默認情況下,AddressFamily 選項通常不在 sshd_config 文件中。將它添加到文件的末尾:
4、 重新啟動 SSH 服務以加載新配置。
如果你使用的 Linux 發(fā)行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)
如果您的 init 系統(tǒng)是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04):
使用 Fail2Ban 保護 SSH 登錄
Fail2Ban是一個應用程序,會把頻繁出現(xiàn)登陸失敗的IP地址進行自動封禁。一般情況下,人們都不會連續(xù)三次以上輸錯密碼(如果使用 SSH 密鑰,那不會超過一個),因此如果服務器充滿了登錄失敗的請求那就表示有惡意訪問。
這個軟件的監(jiān)聽范圍很廣,包括我們熟知的 SSH、HHTP或者SMTP。不過在默認僅監(jiān)視 SSH,并且因為 SSH 守護程序通常配置為持續(xù)運行并監(jiān)聽來自任何遠程 IP 地址的連接,所以對于任何服務器都是一種安全威懾。
刪除未使用的面向網(wǎng)絡的服務
大部分 Linux 發(fā)行版都可以使用網(wǎng)絡服務,你可以選擇把不再需要的那部分刪除掉,這樣可以減少被攻擊的概率。
查明運行的服務
要查看服務器中運行的服務:
如果默認情況下 netstat 沒有包含在你的 Linux 發(fā)行版中,請安裝軟件包 net-tools 或使用 ss -tulpn命令。
以下是 netstat 的輸出示例。 請注意,因為默認情況下不同發(fā)行版會運行不同的服務,你的輸出將有所不同:
netstat 告訴我們服務正在運行 RPC(rpc.statd 和 rpcbind)、SSH(sshd)、NTPdate(ntpd)和Exim(exim4)。
TCP
請參閱 netstat 輸出的 Local Address 那一列。進程 rpcbind 正在偵聽 0.0.0.0:111 和 :::111,外部地址是 0.0.0.0:* 或者 :::* 。這意味著它從任何端口和任何網(wǎng)絡接口接受來自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶端的傳入 TCP 連接。 我們看到類似的 SSH,Exim 正在偵聽來自回環(huán)接口的流量,如所示的 127.0.0.1 地址。
UDP
UDP 套接字是無狀態(tài)的,這意味著它們只有打開或關閉,并且每個進程的連接是獨立于前后發(fā)生的連接。這與 TCP 的連接狀態(tài)(例如 LISTEN、ESTABLISHED和 CLOSE_WAIT)形成對比。
我們的 netstat輸出說明 NTPdate :1)接受服務器的公網(wǎng) IP 地址的傳入連接;2)通過本地主機進行通信;3)接受來自外部的連接。這些連接是通過端口 123 進行的,同時支持 IPv4 和 IPv6。我們還看到了 RPC 打開的更多的套接字。
查明該移除哪個服務
如果你在沒有啟用防火墻的情況下對服務器進行基本的 TCP 和 UDP 的 nmap 掃描,那么在打開端口的結果中將出現(xiàn) SSH、RPC 和 NTPdate 。通過配置防火墻,你可以過濾掉這些端口,但 SSH 除外,因為它必須允許你的傳入連接。但是,理想情況下,應該禁用未使用的服務。
- 你可能主要通過 SSH 連接管理你的服務器,所以讓這個服務需要保留。如上所述,RSA 密鑰和 Fail2Ban 可以幫助你保護 SSH。
- NTP 是服務器計時所必需的,但有個替代 NTPdate 的方法。如果你喜歡不開放網(wǎng)絡端口的時間同步方法,并且你不需要納秒精度,那么你可能有興趣用 OpenNTPD 來代替 NTPdate。
- 然而,Exim 和 RPC 是不必要的,除非你有特定的用途,否則應該刪除它們。
本節(jié)針對 Debian 8。默認情況下,不同的 Linux 發(fā)行版具有不同的服務。如果你不確定某項服務的功能,請嘗試搜索互聯(lián)網(wǎng)以了解該功能是什么,然后再嘗試刪除或禁用它。
卸載監(jiān)聽的服務
如何移除包取決于發(fā)行版的包管理器:
Arch
CentOS
Debian / Ubuntu
Fedora
再次運行 sudo netstat -tulpn,你看到監(jiān)聽的服務就只會有 SSH(sshd)和 NTP(ntpdate,網(wǎng)絡時間協(xié)議)。
配置防火墻
使用防火墻阻止不需要的入站流量能為你的服務器提供一個高效的安全層。 通過指定入站流量,你可以阻止入侵和網(wǎng)絡測繪。 最佳做法是只允許你需要的流量,并拒絕一切其他流量。請參閱我們的一些關于最常見的防火墻程序的文檔:
- iptables 是 netfilter 的控制器,它是 Linux 內核的包過濾框架。 默認情況下,iptables 包含在大多數(shù) Linux 發(fā)行版中。
- firewallD 是可用于 CentOS/Fedora 系列發(fā)行版的 iptables 控制器。
- UFW 為 Debian 和 Ubuntu 提供了一個 iptables 前端。
接下來
這些是加固 Linux 服務器的最基本步驟,但是進一步的安全層將取決于其預期用途。 其他技術可以包括應用程序配置,使用入侵檢測或者安裝某個形式的訪問控制。
現(xiàn)在你可以按你的需求開始設置你的服務器了。
