Linux服務(wù)器加固的基本步驟詳解

作者：時(shí)間：2018-09-13 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫查詢

在輸入密碼之前，按下回車使用 /home/your_username/.ssh 中的默認(rèn)名稱 id_rsa 和 id_rsa.pub。

本文引用地址：http://www.biyoush.com/article/201809/389050.htm

Windows

這可以使用 PuTTY 完成，在我們指南中已有描述：使用 SSH 公鑰驗(yàn)證。

2、將公鑰上傳到您的服務(wù)器上。將 example_user 替換為你用來管理服務(wù)器的用戶名稱，將 203.0.113.10 替換為你的服務(wù)器的 IP 地址。

Linux

在本機(jī)上：

OS X

在你的服務(wù)器上(用你的權(quán)限受限用戶登錄)：

在本機(jī)上：

如果相對(duì)于 scp 你更喜歡 ssh-copy-id 的話，那么它也可以在 Hemebrew 中找到。使用 brew install ssh-copy-id 安裝。

Windows

選擇 1：使用 WinSCP 來完成。在登錄窗口中，輸入你的服務(wù)器的 IP 地址作為主機(jī)名，以及非 root 的用戶名和密碼。單擊“登錄”連接。

一旦 WinSCP 連接后，你會(huì)看到兩個(gè)主要部分。左邊顯示本機(jī)上的文件，右邊顯示服務(wù)區(qū)上的文件。使用左側(cè)的文件瀏覽器，導(dǎo)航到你已保存公鑰的文件，選擇公鑰文件，然后點(diǎn)擊上面工具欄中的“上傳”。

系統(tǒng)會(huì)提示你輸入要將文件放在服務(wù)器上的路徑。將文件上傳到 /home/example_user/.ssh /authorized_keys，用你的用戶名替換 example_user。

選擇 2：將公鑰直接從 PuTTY 鍵生成器復(fù)制到連接到你的服務(wù)器中(作為非 root 用戶)：

上面命令將在文本編輯器中打開一個(gè)名為 authorized_keys 的空文件。將公鑰復(fù)制到文本文件中，確保復(fù)制為一行，與 PuTTY 所生成的完全一樣。按下 CTRL + X，然后按下 Y，然后回車保存文件。

最后，你需要為公鑰目錄和密鑰文件本身設(shè)置權(quán)限：

這些命令通過阻止其他用戶訪問公鑰目錄以及文件本身來提供額外的安全性。有關(guān)它如何工作的更多信息，請(qǐng)參閱我們的指南如何修改文件權(quán)限。

3、現(xiàn)在退出并重新登錄你的服務(wù)器。如果你為私鑰指定了密碼，則需要輸入密碼。

SSH 守護(hù)進(jìn)程選項(xiàng)

1、不允許 root 用戶通過 SSH 登錄。這要求所有的 SSH 連接都是通過非 root 用戶進(jìn)行。當(dāng)以受限用戶帳戶連接后，可以通過使用 sudo 或使用 su - 切換為 root shell 來使用管理員權(quán)限。

2、禁用 SSH 密碼認(rèn)證。這要求所有通過 SSH 連接的用戶使用密鑰認(rèn)證。根據(jù) Linux 發(fā)行版的不同，它可能需要添加 PasswordAuthentication 這行，或者刪除前面的 # 來取消注釋。

如果你從許多不同的計(jì)算機(jī)連接到服務(wù)器，你可能想要繼續(xù)啟用密碼驗(yàn)證。這將允許你使用密碼進(jìn)行身份驗(yàn)證，而不是為每個(gè)設(shè)備生成和上傳密鑰對(duì)。

3、只監(jiān)聽一個(gè)互聯(lián)網(wǎng)協(xié)議。在默認(rèn)情況下，SSH 守護(hù)進(jìn)程同時(shí)監(jiān)聽 IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協(xié)議進(jìn)入你的服務(wù)器，否則就禁用你不需要的。這不會(huì)禁用系統(tǒng)范圍的協(xié)議，它只用于 SSH 守護(hù)進(jìn)程。

使用選項(xiàng)：

AddressFamily inet 只監(jiān)聽 IPv4。

AddressFamily inet6 只監(jiān)聽 IPv6。

默認(rèn)情況下，AddressFamily 選項(xiàng)通常不在 sshd_config 文件中。將它添加到文件的末尾：

4、重新啟動(dòng) SSH 服務(wù)以加載新配置。

如果你使用的 Linux 發(fā)行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)

如果您的 init 系統(tǒng)是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04)：

使用 Fail2Ban 保護(hù) SSH 登錄

Fail2Ban是一個(gè)應(yīng)用程序，會(huì)把頻繁出現(xiàn)登陸失敗的IP地址進(jìn)行自動(dòng)封禁。一般情況下，人們都不會(huì)連續(xù)三次以上輸錯(cuò)密碼(如果使用 SSH 密鑰，那不會(huì)超過一個(gè))，因此如果服務(wù)器充滿了登錄失敗的請(qǐng)求那就表示有惡意訪問。

這個(gè)軟件的監(jiān)聽范圍很廣，包括我們熟知的 SSH、HHTP或者SMTP。不過在默認(rèn)僅監(jiān)視 SSH，并且因?yàn)?SSH 守護(hù)程序通常配置為持續(xù)運(yùn)行并監(jiān)聽來自任何遠(yuǎn)程 IP 地址的連接，所以對(duì)于任何服務(wù)器都是一種安全威懾。

刪除未使用的面向網(wǎng)絡(luò)的服務(wù)

大部分 Linux 發(fā)行版都可以使用網(wǎng)絡(luò)服務(wù)，你可以選擇把不再需要的那部分刪除掉，這樣可以減少被攻擊的概率。

查明運(yùn)行的服務(wù)

要查看服務(wù)器中運(yùn)行的服務(wù)：