Linux服務(wù)器加固的基本步驟詳解

作者：時(shí)間：2018-09-13 來(lái)源：網(wǎng)絡(luò )

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢(xún)

在輸入密碼之前，按下回車(chē)使用 /home/your_username/.ssh 中的默認名稱(chēng) id_rsa 和 id_rsa.pub。

本文引用地址：http://dyxdggzs.com/article/201809/389050.htm

Windows

這可以使用 PuTTY 完成，在我們指南中已有描述：使用 SSH 公鑰驗證。

2、將公鑰上傳到您的服務(wù)器上。將 example_user 替換為你用來(lái)管理服務(wù)器的用戶(hù)名稱(chēng)，將 203.0.113.10 替換為你的服務(wù)器的 IP 地址。

Linux

在本機上：

OS X

在你的服務(wù)器上(用你的權限受限用戶(hù)登錄)：

在本機上：

如果相對于 scp 你更喜歡 ssh-copy-id 的話(huà)，那么它也可以在 Hemebrew 中找到。使用 brew install ssh-copy-id 安裝。

Windows

選擇 1：使用 WinSCP 來(lái)完成。在登錄窗口中，輸入你的服務(wù)器的 IP 地址作為主機名，以及非 root 的用戶(hù)名和密碼。單擊“登錄”連接。

一旦 WinSCP 連接后，你會(huì )看到兩個(gè)主要部分。左邊顯示本機上的文件，右邊顯示服務(wù)區上的文件。使用左側的文件瀏覽器，導航到你已保存公鑰的文件，選擇公鑰文件，然后點(diǎn)擊上面工具欄中的“上傳”。

系統會(huì )提示你輸入要將文件放在服務(wù)器上的路徑。將文件上傳到 /home/example_user/.ssh /authorized_keys，用你的用戶(hù)名替換 example_user。

選擇 2：將公鑰直接從 PuTTY 鍵生成器復制到連接到你的服務(wù)器中(作為非 root 用戶(hù))：

上面命令將在文本編輯器中打開(kāi)一個(gè)名為 authorized_keys 的空文件。將公鑰復制到文本文件中，確保復制為一行，與 PuTTY 所生成的完全一樣。按下 CTRL + X，然后按下 Y，然后回車(chē)保存文件。

最后，你需要為公鑰目錄和密鑰文件本身設置權限：

這些命令通過(guò)阻止其他用戶(hù)訪(fǎng)問(wèn)公鑰目錄以及文件本身來(lái)提供額外的安全性。有關(guān)它如何工作的更多信息，請參閱我們的指南如何修改文件權限。

3、現在退出并重新登錄你的服務(wù)器。如果你為私鑰指定了密碼，則需要輸入密碼。

SSH 守護進(jìn)程選項

1、不允許 root 用戶(hù)通過(guò) SSH 登錄。這要求所有的 SSH 連接都是通過(guò)非 root 用戶(hù)進(jìn)行。當以受限用戶(hù)帳戶(hù)連接后，可以通過(guò)使用 sudo 或使用 su - 切換為 root shell 來(lái)使用管理員權限。

2、禁用 SSH 密碼認證。這要求所有通過(guò) SSH 連接的用戶(hù)使用密鑰認證。根據 Linux 發(fā)行版的不同，它可能需要添加 PasswordAuthentication 這行，或者刪除前面的 # 來(lái)取消注釋。

如果你從許多不同的計算機連接到服務(wù)器，你可能想要繼續啟用密碼驗證。這將允許你使用密碼進(jìn)行身份驗證，而不是為每個(gè)設備生成和上傳密鑰對。

3、只監聽(tīng)一個(gè)互聯(lián)網(wǎng)協(xié)議。在默認情況下，SSH 守護進(jìn)程同時(shí)監聽(tīng) IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協(xié)議進(jìn)入你的服務(wù)器，否則就禁用你不需要的。這不會(huì )禁用系統范圍的協(xié)議，它只用于 SSH 守護進(jìn)程。

使用選項：

AddressFamily inet 只監聽(tīng) IPv4。

AddressFamily inet6 只監聽(tīng) IPv6。

默認情況下，AddressFamily 選項通常不在 sshd_config 文件中。將它添加到文件的末尾：

4、重新啟動(dòng) SSH 服務(wù)以加載新配置。

如果你使用的 Linux 發(fā)行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)

如果您的 init 系統是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04)：

使用 Fail2Ban 保護 SSH 登錄

Fail2Ban是一個(gè)應用程序，會(huì )把頻繁出現登陸失敗的IP地址進(jìn)行自動(dòng)封禁。一般情況下，人們都不會(huì )連續三次以上輸錯密碼(如果使用 SSH 密鑰，那不會(huì )超過(guò)一個(gè))，因此如果服務(wù)器充滿(mǎn)了登錄失敗的請求那就表示有惡意訪(fǎng)問(wèn)。

這個(gè)軟件的監聽(tīng)范圍很廣，包括我們熟知的 SSH、HHTP或者SMTP。不過(guò)在默認僅監視 SSH，并且因為 SSH 守護程序通常配置為持續運行并監聽(tīng)來(lái)自任何遠程 IP 地址的連接，所以對于任何服務(wù)器都是一種安全威懾。

刪除未使用的面向網(wǎng)絡(luò )的服務(wù)

大部分 Linux 發(fā)行版都可以使用網(wǎng)絡(luò )服務(wù)，你可以選擇把不再需要的那部分刪除掉，這樣可以減少被攻擊的概率。

查明運行的服務(wù)

要查看服務(wù)器中運行的服務(wù)：