服務(wù)器安全并不難實(shí)現(xiàn)，本文介紹一種簡(jiǎn)單的Linux服務(wù)器安全配置，只要您花幾分鐘就可以在全新服務(wù)器上阻止常見(jiàn)攻擊。

賬號(hào)管理

所有的服務(wù)器有兩個(gè)賬號(hào)：root和deploy。deploy有復(fù)雜的密碼和sudo權(quán)限，用于開(kāi)發(fā)者登錄使用。開(kāi)發(fā)者通過(guò)自己的公鑰而不是密碼登錄，所以只需要保證所有服務(wù)器的authorized_keys 文件及時(shí)更新。root用戶的ssh登錄禁用了，deploy用戶只能通過(guò)辦公室IP地址段登錄。這種方式不好的地方在于authorized_keys文件權(quán)限如果錯(cuò)誤，就必須通過(guò)遠(yuǎn)程終端來(lái)修復(fù)。

開(kāi)始安全配置

服務(wù)器如虛擬機(jī)創(chuàng)建成功后，就可以登錄了，以Ubuntu為例（您的發(fā)行版可能不一樣，有的命令或者管理文件也會(huì)有一些差異）：

修改root密碼

password

修改root為一個(gè)復(fù)雜度強(qiáng)的密碼，不一定要記在大腦里，但是要存在一個(gè)安全的地方。

更新系統(tǒng)

apt-get update
apt-get upgrade

更新系統(tǒng)可以安裝最新的安全更新，保證服務(wù)器的安全。

安裝Fail2ban

apt-get install fail2ban

fail2ban會(huì)監(jiān)控登錄嘗試并阻止可疑的登錄。

創(chuàng)建deploy用戶

useradd -m deploy # 添加用戶
mkdir /home/deploy/.ssh # 創(chuàng)建文件夾
chmod 700 /home/deploy/.ssh # 修改文件夾權(quán)限
vim /home/deploy/.ssh/authorized_keys # 添加用戶的公鑰
chmod 400 /home/deploy/.ssh/authorized_keys # 修改權(quán)限
chown deploy:deploy /home/deploy -R # 修改文件所屬用戶
password deploy # 修改密碼

然后ssh測(cè)試deploy用戶，ssh可以登錄即可

sudo配置

編輯 /etc/sudoers文件，在root用戶下添加deploy用戶sudo權(quán)限

root ALL=(ALL) ALL
deploy ALL=(ALL) ALL

SSH配置

編輯 /etc/ssh/sshd_config 文件

PermitRootLogin no # 禁止root用戶ssh登錄
PasswordAuthentication no # 禁止使用密碼登錄

防火墻配置

ufw allow from {your-ip} to any port 22 # 只允許指定IP ssh 登錄
ufw allow 80 
ufw allow 443
ufw enable

其他

您還可以根據(jù)需要配置系統(tǒng)的自動(dòng)安全更新和日志功能等。