关注服务器技术领域
致力于整体解决方案

服务器安全系列之基础安全配置

如何防护你的服务器

我们了解了如何创建 Linux 系统(参见如何部署Linode),启动并SSH 登陆到 Linux 系统。现在是时候教你们一些防护和安全知识了。你将学习如何使用防火墙阻挡攻击,SSH 密钥认证,以及可自动屏蔽IP的机制——Fail2Ban,最终全方位的防护你的系统,免于黑客攻击。

创建新用户

在之前的指引中,创建了 root 帐号,并都使用 root 登陆 Linux。但作为最高权限的用户 root,可以执行任何命令,稍加不慎误执行了命令,就会破坏系统。因此,我们建议你创建另一个新的帐号,并使用他登陆服务器,执行任何操作。当使用新帐号登陆后,你可以通过 sudo 命令来获得超级用户的权限。
如何增加新用户,通过 SSH 登陆 Linux 系统,不同版本的 Linux 使用命令也略有不同,如下:

CentOS / Fedora

  1. 使用以下命令创建新帐号,使用你想增加的用户名,替换 exampleuser :
    adduser exampleuser
    
  2. 为新用户设置密码:
    passwd exampleuser
    
  3. 增加新用户到 wheel 用户组,以获得执行 sudo 的权限:CentOS 7 / Fedora
    usermod exampleuser -a -G wheel
    

    CentOS 6

    usermod -a -G wheel exampleuser
    

Debian / Ubuntu

  1. 使用以下命令创建新帐号,使用你想增加的用户名,替换 exampleuser :
    adduser exampleuser
    
  2. 增加新用户到 wheel 用户组,以获得执行 sudo 的权限:
    usermod -a -G sudo exampleuser
    

当新用户创建后,退出 root 登陆:

logout

重新使用刚刚创建的新用户登陆系统. 使用你的新用户名替换下方的 exampleuser ,以及你的实际 IP 地址替换 123.456.78.90:

现在你就已经使用了新账号登陆 Linux,而不是危险的 root帐号。当然,在需要执行超级用户(root)才有权限的命令时,在命令前面加上 sudo 即可。例如,你可以执行 sudo iptables -L 去查看 iptables 的配置。另外,所有使用 sudo 执行的命令都将记录在 /var/log/auth.log 这份日志中,如果被入侵了,可以查查这份日志,也许能有所发现。

使用 SSH 密钥认证

前面你连接 SSH 登陆系统,都是通过密码认证的方式,不得不提,有一种更加安全的方式:密钥认证。这部分,我们会教你如何生成公钥和私钥,并上传私钥到你的 Linux 主机。SSH 连接将会匹配远程机器的公钥以及存储在本地机器中的私钥,以认证身份,而且登陆的过程不需要输入任何密码。最后,去掉 SSH 密码登陆的方式,你的系统已经不惧任何暴力破解了。
下面是如何使用 SSH 密钥连接 Linux:

  1. 在本地 Linux / Mac 机器可以通过在终端中输入以下命令,生成 SSH 密钥。Windows 的 PuTTY 用户请看其他教程。
    ssh-keygen
    
  2. 当输入命令后,会出现引导提示,按照提示,输入私钥默认存放位置,回车即使用括号内的默认地址。
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/xxx/.ssh/id_rsa):
    
  3. 接着询问,输入『通行短语』,可以是一句话,相比密码更长,当然偷懒的话,也可以直接回车,不使用通行短语。
    Enter passphrase (empty for no passphrase):
    
  4. 重复输入,这样就完成了 SSH 密钥的生成。

注意:两个密钥文件已经创建,默认路径在 \~/.ssh文件夹中,两个文件分别是: 私钥(id_rsa) 和 公钥(id_rsa.pub).公钥需要上传到远程 Linux 服务器中,另一个文件则藏好,莫被别人偷去!

  1. 使用 SCP 命令上传公钥到远程服务器:
    scp ~/.ssh/id_rsa.pub [email protected]:
    
  2. 如果远程服务器上没有~/.ssh 这个目录,就创建一个 ssh 目录
    mkdir .ssh
    
  3. 将上传上去的公钥放到这个目录中:
    mv id_rsa.pub .ssh/authorized_keys
    
  4. 修改 .ssh 的所有者(注意:所有者不要是 root 帐号)和执行权限(仅所有者可读写):
    chown -R example_user:example_user .ssh
    chmod 700 .ssh
    chmod 600 .ssh/authorized_keys
    

现在SSH 的密钥已经生成,万事俱备,再试试 SSH登陆看,是不是直接无密码进入了呢?
但是这样的防护还不够完美,如果 root 密码被泄露或者被暴力破解,那么系统就会完全置于攻击者的股掌之内。
所以,还是接着往下读。

关闭密码SSH登陆和 Root 帐号登陆

登陆远程服务器,并编辑 SSH 配置文件:

  1. 选项 PasswordAuthentication 的意思是SSH 登陆是否使用密码验证的方式,改为 no,即关闭密码验证。
    PasswordAuthentication no
    
  2. PermitRootLogin:是否运行 root 登陆,同样的改为『no』:
    PermitRootLogin no
    
  3. 保存修改,并重启 SSH 服务:Debian/Ubuntu Users:
    sudo service ssh restart
    

    Fedora/CentOS:

    sudo systemctl restart sshd
    

重启后修改才会生效。
下一篇将介绍如何配置防火墙,以及使用 Fail2Ban 自动屏蔽攻击者 IP。

赞(0)
未经允许不得转载:VPS爱好者 » 服务器安全系列之基础安全配置
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址