安全强化你的 Linux 服务器的七个步骤

经过七个简单的步骤来加固你的 Linux 服务器。

这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu，可是你能够将此处介绍的全部内容应用于其余 Linux 发行版。我也鼓励你研究这份材料，并在适用的状况下进行扩展。

一、更新你的服务器

保护服务器安全的第一件事是更新本地存储库，并经过应用最新的修补程序来升级操做系统和已安装的应用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y
复制代码

在 Fedora、CentOS 或 RHEL：

$ sudo dnf upgrade
复制代码

二、建立一个新的特权用户

接下来，建立一个新的用户账户。永远不要以 root 身份登陆服务器，而是建立你本身的账户（用户），赋予它 sudo 权限，而后使用它登陆你的服务器。

首先建立一个新用户：

$ adduser <username>
复制代码

经过将 sudo 组（-G）附加（-a）到用户的组成员身份里，从而授予新用户账户 sudo 权限：

$ usermod -a -G sudo <username>
复制代码

三、上传你的 SSH 密钥

你应该使用 SSH 密钥登陆到新服务器。你可使用 ssh-copy-id 命令将预生成的 SSH 密钥上传到你的新服务器：

$ ssh-copy-id <username>@ip_address
复制代码

如今，你无需输入密码便可登陆到新服务器。

四、安全强化 SSH

接下来，进行如下三个更改：

• 禁用 SSH 密码认证
• 限制 root 远程登陆
• 限制对 IPv4 或 IPv6 的访问

使用你选择的文本编辑器打开 /etc/ssh/sshd_config 并确保如下行：

PasswordAuthentication yes
PermitRootLogin yes
复制代码

改为这样：

PasswordAuthentication no
PermitRootLogin no
复制代码

接下来，经过修改 AddressFamily 选项将 SSH 服务限制为 IPv4 或 IPv6。要将其更改成仅使用 IPv4（对大多数人来讲应该没问题），请进行如下更改：

AddressFamily inet
复制代码

从新启动 SSH 服务以启用你的更改。请注意，在从新启动 SSH 服务以前，与服务器创建两个活动链接是一个好主意。有了这些额外的链接，你能够在从新启动 SSH 服务出错的状况下修复全部问题。

在 Ubuntu 上：

$ sudo service sshd restart
复制代码

在 Fedora 或 CentOS 或任何使用 Systemd 的系统上：

$ sudo systemctl restart sshd
复制代码

五、启用防火墙

如今，你须要安装防火墙、启用防火墙并对其进行配置，以仅容许你指定的网络流量经过。（Ubuntu 上的）简单的防火墙（UFW）是一个易用的 iptables 界面，可大大简化防火墙的配置过程。

你能够经过如下方式安装 UFW：

$ sudo apt install ufw
复制代码

默认状况下，UFW 拒绝全部传入链接，并容许全部传出链接。这意味着服务器上的任何应用程序均可以访问互联网，可是任未尝试访问服务器的内容都没法链接。

首先，确保你能够经过启用对 SSH、HTTP 和 HTTPS 的访问来登陆：

$ sudo ufw allow ssh
$ sudo ufw allow http
$ sudo ufw allow https
复制代码

而后启用 UFW：

$ sudo ufw enable
复制代码

你能够经过如下方式查看容许和拒绝了哪些服务：

$ sudo ufw status
复制代码

若是你想禁用 UFW，能够经过键入如下命令来禁用：

$ sudo ufw disable
复制代码

你还能够（在 RHEL/CentOS 上）使用 firewall-cmd，它已经安装并集成到某些发行版中。

六、安装 Fail2ban

Fail2ban 是一种用于检查服务器日志以查找重复或自动攻击的应用程序。若是找到任何攻击，它会更改防火墙以永久地或在指定的时间内阻止攻击者的 IP 地址。

你能够经过键入如下命令来安装 Fail2ban：

$ sudo apt install fail2ban -y
复制代码

而后复制随附的配置文件：

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
复制代码

重启 Fail2ban：

$ sudo service fail2ban restart
复制代码

这样就好了。该软件将不断检查日志文件以查找攻击。一段时间后，该应用程序将创建至关多的封禁的 IP 地址列表。你能够经过如下方法查询 SSH 服务的当前状态来查看此列表：

$ sudo fail2ban-client status ssh
复制代码

七、移除无用的网络服务

几乎全部 Linux 服务器操做系统都启用了一些面向网络的服务。你可能但愿保留其中大多数，然而，有一些你或许但愿删除。你可使用 ss 命令查看全部正在运行的网络服务：（LCTT 译注：应该是只保留少部分，而全部确认无关的、无用的服务都应该停用或删除。）

$ sudo ss -atpu
复制代码

ss 的输出取决于你的操做系统。下面是一个示例，它显示 SSH（sshd）和 Ngnix（nginx）服务正在侦听网络并准备链接：

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))
tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))
复制代码

删除未使用的服务的方式因你的操做系统及其使用的程序包管理器而异。

要在 Debian / Ubuntu 上删除未使用的服务：

$ sudo apt purge <service_name>
复制代码

要在 Red Hat/CentOS 上删除未使用的服务：

$ sudo yum remove <service_name>
复制代码

再次运行 ss -atup 以确认这些未使用的服务没有安装和运行。

总结

本教程介绍了加固 Linux 服务器所需的最起码的措施。你应该根据服务器的使用方式启用其余安全层。这些安全层能够包括诸如各个应用程序配置、入侵检测软件（IDS）以及启用访问控制（例如，双因素身份验证）之类的东西。

---

via: opensource.com/article/19/…

做者：Patrick H. Mullins 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出