日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

【.com 快譯】任何一套關(guān)鍵性系統(tǒng)都需要高度重視服務(wù)器安全性，特別是在公有云環(huán)境當中。在今天的文章中，我們將專注于基本原理與一般性最佳實踐層面對此加以解讀。

我在操作系統(tǒng)配置完成之后始終堅持執(zhí)行的安全改進舉措。

讓我們以Ubuntu 16.04為例：

1.保持內(nèi)核隨時更新。

環(huán)境雖然不應(yīng)該盲目更新，不過在剛剛安裝完成的服務(wù)器當中，版本更新一般都能夠帶來更理想的安全成效。

其中一項常規(guī)建議是禁用各項未使用采取行動。不過我個人非常信任發(fā)行版供應(yīng)商。一般來講，我認為他們給出的默認安裝及啟用選項還是相當可靠的。

 
 
 
 
  
  
  
  
apt-get -y update 
 
 
 

2. 重置Root密碼。

我們有時候需要在ssh無法起效的情況下訪問各虛擬機的網(wǎng)絡(luò)控制臺，這類狀況包括iptables規(guī)則將我們屏蔽、操作系統(tǒng)內(nèi)核出現(xiàn)問題或者虛擬機神秘重啟等等。

 
 
 
 
  
  
  
  
root_pwd="DevOpsDennyChangeMe1" 
  
  
  
  
echo "root:$root_pwd" | chpasswd 
 
 
 

3. 強化SSHD。

在keyfile當中僅允許ssh訪問，這意味著黑客無法輕松猜到我們的密碼內(nèi)容。使用除端口22之外的其它ssh監(jiān)聽端口，這能夠有效避免惡意ssh登錄嘗試。

 
 
 
 
  
  
  
  
# Disable ssh by password 
  
  
  
  
sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/g' \ 
  
  
  
  
/etc/ssh/sshd_config 
  
  
  
  
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' \ 
  
  
  
  
/etc/ssh/sshd_config 
  
  
  
  
grep PasswordAuthentication /etc/ssh/sshd_config 
  
  
  
  
# Use another ssh port 
  
  
  
  
sshd_port="2702" 
  
  
  
  
sed -i "s/^Port 22/Port $sshd_port/g" /etc/ssh/sshd_config 
  
  
  
  
grep "^Port " /etc/ssh/sshd_config 
  
  
  
  
# Restart sshd to take effect 
  
  
  
  
service ssh restart 
 
 
 

4.利用防火墻限制惡意訪問。

這可能是大家應(yīng)當采取的最為重要的安全改進舉措了。

 
 
 
 
  
  
  
  
# Disable ssh by password 
  
  
  
  
sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/g' \ 
  
  
  
  
/etc/ssh/sshd_config 
  
  
  
  
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' \ 
  
  
  
  
/etc/ssh/sshd_config 
  
  
  
  
grep PasswordAuthentication /etc/ssh/sshd_config 
  
  
  
  
# Use another ssh port 
  
  
  
  
sshd_port="2702" 
  
  
  
  
sed -i "s/^Port 22/Port $sshd_port/g" /etc/ssh/sshd_config 
  
  
  
  
grep "^Port " /etc/ssh/sshd_config 
  
  
  
  
# Restart sshd to take effect 
  
  
  
  
service ssh restart 
  
  
  
  
# Have a clean start with iptables 
  
  
  
  
iptables -F; iptables -X 
  
  
  
  
echo 'y' | ufw reset 
  
  
  
  
echo 'y' | ufw enable 
  
  
  
  
ufw default deny incoming 
  
  
  
  
ufw default deny forward 
  
  
  
  
# Allow traffic of safe ports 
  
  
  
  
ufw allow 22,80,443/tcp 
  
  
  
  
# Allow traffic from certain port 
  
  
  
  
ufw allow 2702/tcp 
  
  
  
  
# Allow traffic from trusted ip 
  
  
  
  
ufw allow from 52.74.151.55 
 
 
 

5.向命令歷史中添加時間戳。

通過這種方式，我們能夠查看哪些命令曾在何時得以執(zhí)行。

 
 
 
 
  
  
  
  
echo export HISTTIMEFORMAT=\"%h %d %H:%M:%S \" >> /root/.bashrc 
 
 
 

6.生成SSH密鑰對。

永遠、永遠不要在不同服務(wù)器之間共享同一ssh密鑰對!

 
 
 
 
  
  
  
  
exec ssh-agent bash 
  
  
  
  
# General new key pair 
  
  
  
  
ssh-keygen 
  
  
  
  
# Load key pair 
  
  
  
  
ssh-add 
 
 
 

7.高度關(guān)注var/log。

使用logwatch以自動執(zhí)行檢查與分析任務(wù)。這是一套實用的解析型perl腳本，能夠分析系統(tǒng)日志活動并生成報告。其中需要關(guān)注的重點日志文件包括：

◆/var/log/kern.log

◆/var/log/syslog

◆/var/log/ufw.log

◆/var/log/auth.log

◆/var/log/dpkg.log

◆/var/log/aptitude

◆/var/log/boot.log

◆/var/log/cron.log

◆/var/log/mailog

 
 
 
 
  
  
  
  
exec ssh-agent bash 
  
  
  
  
# General new key pair 
  
  
  
  
ssh-keygen 
  
  
  
  
# Load key pair 
  
  
  
  
ssh-add 
  
  
  
  
apt-get install -y logwatch 
  
  
  
  
# Full check. Takes several minutes 
  
  
  
  
logwatch --range ALL 
  
  
  
  
# Only check log of Today 
  
  
  
  
logwatch --range Today 
 
 
 

8.運行第三方安全檢查工具。

并不是每位用戶都具備強大的安全知識儲備。因此最好選擇可靠且多樣化的工具方案。Lynis易于使用且功能可靠——其僅作為單一bash文件存在。

 
 
 
 
  
  
  
  
apt-get install -y lynis 
  
  
  
  
# Run lynis to check security issues 
  
  
  
  
lynis -c 
 
 
 

9.適當備份無法恢復(fù)的數(shù)據(jù)。

永遠要籌備一套B計劃。作為最后補救手段，其應(yīng)該能夠?qū)⑾到y(tǒng)快速恢復(fù)至新服務(wù)器之上。

當前名稱：九項實例技巧幫您保障Linux服務(wù)器安全
文章URL：http://www.dlmjj.cn/article/djhoggo.html