現在中小型企業(yè)的業(yè)務基本都轉到云上了�,用的云服務�����;ヂ摼W安全問題是一個老生常談����,也是永不過時的話題�。包括互聯網很多大佬級的網站都出過安全事故,安全攻防����、滲透、審計等涉及的專業(yè)性很強����、密碼學算法等很深。那些都有專業(yè)的機構在研究和相應的解決方案���,但做為運維人的我們�����,不要忽視一個最基本的原則��,最基本細心的安全做得越到位�,黑客攻破所需付出的成本和花費的代價越高。而且我們付出的成本也比較低���,能防護80~90%以上的攻擊�。好了����,下面看下剛買的一臺云服務器的安全日志:
Linux服務器防互聯網攻擊的基本安全防護策略
通過上面日志可以看出在沒做任何安全防護策略時,會有大量的掃描攻擊���。如果密碼設置得比較簡單�,估計服務器很快就成為黑客的肉雞了����。本節(jié)我們僅講下系統(tǒng)層面的,還有web安全和數據庫安全以后再介紹�,在企業(yè)中還有用到跳板機和VPN等在這由于篇幅有限也略過�。
1����、首先root用戶要禁掉遠程ssh登錄。
禁root遠程登錄前先建立一個普通用戶��,普通用戶建好后可以分配sudoers 權限�,以方便管理系統(tǒng)服務等。
兩條命令搞定:useradd 用戶名�;passwd 用戶名,輸入兩次密碼����。完了id 用戶名 檢查下�,再看下是否建立了用戶的home目錄,還有不要忘記用建立好的用戶ssh登錄試下�����。
將普通用戶加入sudo權限有兩種方式:第一種是直接將普通用戶加入到wheel組就行�,加入前我們先測試下:執(zhí)行l(wèi)s /root后提示權限不允許,再執(zhí)行sudo ls /root 輸入密碼后提示不在sudoers file會向管理員報告�。
Linux服務器防互聯網攻擊的基本安全防護策略
在root或其他sodu用戶身份下運行如下命令:
usermod -aG wheel username ,然后用id username看下已經加入wheel組了���。
用這種方式對大多數的sudo命令是有權限的�,有些還是不行。
第二種方式:vim /etc/sudoers 找到如下段落:
Linux服務器防互聯網攻擊的基本安全防護策略
在root下面加上一行:username ALL=(ALL) NOPASSWD:ALL
意思表示賦予所有sudo權限并且不需當前用戶驗證密碼���。加入后輸入 :wq! 強制保存退出��,此文件是只讀的�����。這樣�����,下一步就可以關閉root遠程登錄了���。
2、關閉root遠程ssh登錄操作
編輯 sshd配置文件���,vim /etc/ssh/sshd_config 找到下面字段���,沒有就加上。
Linux服務器防互聯網攻擊的基本安全防護策略
把前頭處PermitRootLogin 改為no 保存退出。
記得重啟sshd 服務�,systemctl restart sshd。重啟后再systemctl status sshd確認�。
3、修改sshd服務默認的22監(jiān)聽端口��,做一步前特別要注意確保其他端口能正常訪問再關閉22端口����,不要把自己鎖在門外里,以免尷尬���,影響工作����。
先看下系統(tǒng)防火墻,默認是開啟的�����。如果需開系統(tǒng)防火墻��,請把要修改的端口號后加入允許的安全策略里��,另外還要看下云服務商的安全組�����,也要把相應端口加進去�����。
執(zhí)行 firewall-cmd –list-all 查看已開放的端口如下:
Linux服務器防互聯網攻擊的基本安全防護策略
防火墻加入端口執(zhí)行:firewall-cmd –zone=public –add-port=(自定義端口號)/tcp 返回success
重載防火墻使配置生效�����,firewall-cmd –reload 返回success
再運行 firewall-cmd –list-all 是不是你想加入的端口在里面呢��?
另外���,如果系統(tǒng)開啟了selinux則也要把端口加入selinux 的 ssh_port_t中�����。如不打算開selinux�,下面的步驟請略過���。
先安裝selinux的管理工具yum install –y policycoreutils-python
查詢當前ssh 服務端口:semanage port –l |grep ssh
Linux服務器防互聯網攻擊的基本安全防護策略
執(zhí)行semanage port -a -t ssh_port_t -p tcp 自定義端口號���。沒什么問題再執(zhí)行上面命令檢查���。
接著編輯 sshd配置文件 vim /etc/ssh/sshd_config 在port 22 下面加一行:
Linux服務器防互聯網攻擊的基本安全防護策略
重啟sshd服務 systemctl restart sshd 查看sshd服務是否正常并檢查系統(tǒng)監(jiān)聽端口
4、 用普通用戶和修改后的端口登錄ssh測試
這步很簡單�,在此就不贅述了。測試好后還是編輯 sshd配置文件把22號端口去掉并重啟sshd服務����。如果萬一哪步沒弄好或端口被阻止了,那要記得在本地shell環(huán)境操作了���,現在云服務器一般都有VNC等遠程連接服務�。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯網舉報中心
網絡舉報APP下載
