Linux服務(wù)器加固的基本步驟詳解

如果默認情況下 netstat 沒(méi)有包含在你的 Linux 發(fā)行版中，請安裝軟件包 net-tools 或使用 ss -tulpn命令。

以下是 netstat 的輸出示例。 請注意，因為默認情況下不同發(fā)行版會(huì )運行不同的服務(wù)，你的輸出將有所不同：

netstat 告訴我們服務(wù)正在運行 RPC(rpc.statd 和 rpcbind)、SSH(sshd)、NTPdate(ntpd)和Exim(exim4)。

TCP

請參閱 netstat 輸出的 Local Address 那一列。進(jìn)程 rpcbind 正在偵聽(tīng) 0.0.0.0:111 和 :::111，外部地址是 0.0.0.0:* 或者 :::* 。這意味著(zhù)它從任何端口和任何網(wǎng)絡(luò )接口接受來(lái)自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶(hù)端的傳入 TCP 連接。 我們看到類(lèi)似的 SSH，Exim 正在偵聽(tīng)來(lái)自回環(huán)接口的流量，如所示的 127.0.0.1 地址。

UDP

UDP 套接字是無(wú)狀態(tài)的，這意味著(zhù)它們只有打開(kāi)或關(guān)閉，并且每個(gè)進(jìn)程的連接是獨立于前后發(fā)生的連接。這與 TCP 的連接狀態(tài)(例如 LISTEN、ESTABLISHED和 CLOSE_WAIT)形成對比。

我們的 netstat輸出說(shuō)明 NTPdate ：1)接受服務(wù)器的公網(wǎng) IP 地址的傳入連接;2)通過(guò)本地主機進(jìn)行通信;3)接受來(lái)自外部的連接。這些連接是通過(guò)端口 123 進(jìn)行的，同時(shí)支持 IPv4 和 IPv6。我們還看到了 RPC 打開(kāi)的更多的套接字。

查明該移除哪個(gè)服務(wù)

如果你在沒(méi)有啟用防火墻的情況下對服務(wù)器進(jìn)行基本的 TCP 和 UDP 的 nmap 掃描，那么在打開(kāi)端口的結果中將出現 SSH、RPC 和 NTPdate 。通過(guò)配置防火墻，你可以過(guò)濾掉這些端口，但 SSH 除外，因為它必須允許你的傳入連接。但是，理想情況下，應該禁用未使用的服務(wù)。

你可能主要通過(guò) SSH 連接管理你的服務(wù)器，所以讓這個(gè)服務(wù)需要保留。如上所述，RSA 密鑰和 Fail2Ban 可以幫助你保護 SSH。

NTP 是服務(wù)器計時(shí)所必需的，但有個(gè)替代 NTPdate 的方法。如果你喜歡不開(kāi)放網(wǎng)絡(luò )端口的時(shí)間同步方法，并且你不需要納秒精度，那么你可能有興趣用 OpenNTPD 來(lái)代替 NTPdate。

然而，Exim 和 RPC 是不必要的，除非你有特定的用途，否則應該刪除它們。

本節針對 Debian 8。默認情況下，不同的 Linux 發(fā)行版具有不同的服務(wù)。如果你不確定某項服務(wù)的功能，請嘗試搜索互聯(lián)網(wǎng)以了解該功能是什么，然后再?lài)L試刪除或禁用它。

卸載監聽(tīng)的服務(wù)

如何移除包取決于發(fā)行版的包管理器：

Arch

CentOS

Debian / Ubuntu

Fedora

再次運行 sudo netstat -tulpn，你看到監聽(tīng)的服務(wù)就只會(huì )有 SSH(sshd)和 NTP(ntpdate，網(wǎng)絡(luò )時(shí)間協(xié)議)。

配置防火墻

使用防火墻阻止不需要的入站流量能為你的服務(wù)器提供一個(gè)高效的安全層。 通過(guò)指定入站流量，你可以阻止入侵和網(wǎng)絡(luò )測繪。 最佳做法是只允許你需要的流量，并拒絕一切其他流量。請參閱我們的一些關(guān)于最常見(jiàn)的防火墻程序的文檔：

iptables 是 netfilter 的控制器，它是 Linux 內核的包過(guò)濾框架。 默認情況下，iptables 包含在大多數 Linux 發(fā)行版中。

firewallD 是可用于 CentOS/Fedora 系列發(fā)行版的 iptables 控制器。

UFW 為 Debian 和 Ubuntu 提供了一個(gè) iptables 前端。

接下來(lái)

這些是加固 Linux 服務(wù)器的最基本步驟，但是進(jìn)一步的安全層將取決于其預期用途。 其他技術(shù)可以包括應用程序配置，使用入侵檢測或者安裝某個(gè)形式的訪(fǎng)問(wèn)控制。

現在你可以按你的需求開(kāi)始設置你的服務(wù)器了。