如何防范服务器入侵

时间  2019-11-17
标签 如何 防范 服务器 入侵 栏目 系统安全 繁體版
原文   原文链接

Vitaliy Kolesov 原做,受权 LeanCloud 翻译。html

加固服务器并不难,但有不少例行操做须要进行时,有可能会遗忘。以我为例,刚买的服务器就在两周内被人入侵了。有天早上我收到几封来自第三方的邮件,说我服务器上有东西在尝试入侵他们的服务器。因此,我须要快速解决这个问题。bash

如何查找漏洞

我碰到的状况比较简单,我执行了如下命令:服务器

cat /var/log/auth.log |  grep Accepted
复制代码

该命令返回了个人服务器上的成功认证记录,其中有一个 IP 不是个人。因此,是 SSH 服务被入侵了。ssh

别忘了还有一个命令 last,这个命令返回最近成功登陆的用户。tcp

如何加固服务器

购买服务器后须要马上进行的操做:工具

  • 安装 ufw,简单易用的防火墙软件;
  • 关闭除 SSH、HTTP(s) 外的全部端口;
  • 安装配置 fail2ban 工具。这个工具基于 /var/log/auth.log 识别恶意行为并封禁 IP;
  • 修改 sshd 配置,只使用密钥认证。

具体怎么作?

若是发生了入侵,你须要知道如何调查和清扫。最好的方式是从新建立 VPS。我就是这么作的。我在 hetzner 买了服务器,它的控制台提供了从新建立(移除旧 VPS,新建一个)VPS 并保留原 IP 的功能。 因此我从新建立了一个 VPS。以后我在本地计算机上使用 ssh-keygen 工具(标准 OpenSSH 包的一部分)生成了 SSH 密钥:(下面的命令同时适用于 Linux 和 macOS)ui

ssh-keygen
复制代码

该命令在 ~/.ssh 目录中建立了一对密钥。以后运行如下命令:spa

ssh-copy-id you_user@your_server_id
复制代码

该命令会将新建立的公钥上传到服务器。接下来,登陆服务器并修改 sshd 配置:翻译

nano /etc/ssh/sshd_config
复制代码

修改配置文件中的 PasswordAuthentication 配置:code

PasswordAuthentication no
复制代码

这一配置禁用了使用密码登陆(只能使用密钥登陆)。

安装配置 ufw 和 fail2ban

服务器上我用的系统是 Ubuntu,因此经过如下命令能够安装这两个工具:

apt install ufw fail2ban
复制代码

只开 ssh 和 http(s) 端口:

ufw allow ssh
ufw allow 80
ufw allow 443
复制代码

启用 ufw:

ufw enable
复制代码

接下来配置 fail2ban 工具:

# 备份默认配置
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local
复制代码

在配置文件中查找 banaction =,将其设为 ufw。而后从新加载 fail2ban 配置:

fail2ban-client reload
复制代码

这样简单配置以后,来自同一 IP 的三次错误登陆尝试将封禁该 IP 10 分钟。我我的将封禁期限调成了 7 天。如下命令能够查看 fail2ban 的状态:

fail2ban-client status sshd
复制代码

个人配置是这样的:

Status for the jail: sshd
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	6
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	1
   |- Total banned:	2
   `- Banned IP list:	187.109.168.150
复制代码

如你所见,有一个 IP 已经被防火墙封禁了。咱们也能够经过 ufw 的报告确认这一点:

ufw status
Status: active

To                         Action      From
--                         ------      ----
Anywhere                   REJECT      187.109.168.150           
80/tcp                     ALLOW       Anywhere                  
22                         ALLOW       Anywhere                  
443                        ALLOW       Anywhere           
复制代码

能够配置 fail2ban,若是有 IP 被封,给你发一封电子邮件。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程