加强你的Linux服务器安全性的7个步骤,可以防止至少90%的攻击

这篇具有很好参考价值的文章主要介绍了加强你的Linux服务器安全性的7个步骤,可以防止至少90%的攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

这并不是一个全面的安全指南。它可以帮助你防止近90%的流行后端攻击,例如尝试登录暴力破解DDoS。最好是你可以在一两个小时内实现它们。

前置条件

  1. 您需要一个Linux服务器。
  2. 您需要对命令行有一个基本的了解。
    如果您已经设置好了上述要求,让我们继续进行第一步。

1. 配置SSH密钥

要访问远程服务器,要么使用密码登录,要么使用SSH密钥。密码的问题在于它们很容易被暴力破解(你将在后面学习如何防止这种情况)。此外,在需要访问服务器时,您必须使用键盘输入。
为了避免上述缺点,你可以设置SSH密钥验证。它比密码更安全,因为黑客无法暴力破解它们。由于不需要输入密码,连接到服务器也更容易、更快。
以下是如何为服务器设置SSH身份验证。

  • 在本地计算机上输入以下命令生成SSH密钥对:
ssh - keygen

上面的命令会带你完成几个步骤来生成SSH密钥。注意存储密钥的文件。

  • 使用以下命令将公钥添加到服务器:
ssh-copy-id username@remote_host

确保将 usernameremote_host 替换为你的真实用户名和服务器的IP地址。系统将提示您输入密码。

  • 尝试使用以下命令登录服务器:
ssh username@remote_host

别忘了把 usernameremote_host 替换成你服务器的信息。您应该注意到,这一次不会提示您输入密码。

2. 保持你的系统时间是最新的

许多安全协议利用您的系统时间来运行定时任务、记录日志和执行其他关键任务。
如果您的系统时间不正确,可能会对服务器产生负面影响。为了防止这种情况发生,你可以安装一个NTP客户端。此客户端将使您的系统时间与网络时间协议Network Time Protocol(NTP)保持同步。
使用下面的命令安装NTP客户端:

sudo apt install ntp

这样你就再也不用担心系统时间不同步了。

3. 查看活动端口

服务器上的应用程序公开某些端口,以便网络中的其他应用程序可以访问它们。黑客也可以在你的服务器上安装后门并暴露一个端口,通过这个端口他们可以控制服务器。
出于这个原因,我们不希望你的服务器监听我们不知道的端口。
使用如下命令查看活动端口:

sudo ss -lntup

看一下输出,并研究一下您不熟悉的端口或进程。尝试发现并跟踪潜在的有害服务和进程。
首先,看看这个"Bad" TCP/UDP Ports List。

4. 设置防火墙

你可以通过防火墙设置停止/允许服务器上特定端口的进行通信。为此,我通常使用UFW(uncomplicated firewall).
UFW的工作原理是让你配置以下规则:

  • 允许或拒绝
  • 流入或流出流量
  • 往返
  • 指定端口或所有端口
    在本节中,您将阻断除明确允许的网络流量之外的所有网络流量。在安装其他程序时,请记住启用运行它所需的必要端口。

设置UFW

  • 安装ufw。
sudo apt-get install ufw
  • 你可以拒绝所有传出的流量…
sudo ufw default deny outgoing comment 'deny all outgoing traffic'
  • 或允许所有传出流量
sudo ufw default allow outgoing comment 'allow all outgoing traffic'
  • 接下来,我们要拒绝所有传入的流量…
sudo ufw default deny incoming comment 'deny all incoming traffic'
  • 限制使用SSH方式访问服务器
sudo ufw limit in ssh comment 'allow SSH connections in'
  • 如果配置UFW拒绝所有流出流量,请不要忘记根据需要允许特定的流量流出。下面是一些例子:
# 允许流量出53端口 -- DNS  
sudo ufw allow out 53 comment 'allow DNS calls out'
# 允许流量出123端口 -- NTP  
sudo ufw allow out 123 comment 'allow NTP out'
# 放开 HTTP, HTTPS, or FTP  
# apt可能需要这些,这取决于你使用的资源
sudo ufw allow out http comment 'allow HTTP traffic out'  
sudo ufw allow out https comment 'allow HTTPS traffic out'  
sudo ufw allow out ftp comment 'allow FTP traffic out'
# 允许域名查询服务
sudo ufw allow out whois comment 'allow whois'
# 允许流量出68端口 -- the DHCP client  
# 只有在使用DHCP时才需要这个
sudo ufw allow out 68 comment 'allow the DHCP client to update'
  • 要拒绝99端口的任何流量,使用下面的命令:
sudo ufw deny 99
  • 最后,使用下面的命令启动UFW:
sudo ufw enable
  • 您也可以使用以下命令查看UFW状态:
sudo ufw status

5. 防止自动攻击

有两个工具可以防止大多数自动攻击:

  • PSAD.
  • Fail2Ban.

PSAD和Fail2Ban之间的区别

我们了解了端口可以访问服务器上的应用程序。
攻击者可能会扫描你的服务器,寻找他们可以用来访问服务器的开放端口。
PSAD可以监控网络活动,以检测并有选择地阻止此类扫描和其他类型的可疑流量,如DDoS或操作系统指纹尝试。
Fail2Ban会扫描各种应用程序(如FTP)的日志文件,并自动禁止显示恶意迹象的ip地址,如自动登录尝试。

6. 安装 logwatch

服务器上的应用程序通常会将日志消息保存到日志文件中。除非你想手动监控日志文件,否则需要安装logwatch。
Logwatch扫描并汇总系统日志文件。
您可以直接从命令行运行它,也可以将它安排为按定期计划运行。例如,您可以配置logwatch,以电子邮件向您发送日志文件的每日摘要。请注意,您的服务器需要能够发送电子邮件才能工作。
Logwatch使用服务文件来了解如何读取和汇总日志文件。你可以在/usr/share/logwatch/scripts/services目录中看到所有的服务文件。
Logwatch的配置文件/usr/share/ Logwatch /default.conf/ Logwatch .conf指定了默认选项。你可以通过命令行参数来覆盖它们。
要在Ubuntu或Debian上安装logwatch,请执行以下命令:

apt-get install logwatch

对于使用其他Linux发行版的用户,请查看Linode的epic指南。
您可以尝试直接运行logwatch,以便查看它收集的内容的示例。

sudo /usr/sbin/logwatch --output stdout --format text --range yesterday --service all

最后,告诉logwatch每天给我们发送一封包含日志文件摘要的电子邮件。为此,打开文件_/etc/cron。并找到execute行,然后将其更改为以下内容:

/usr/sbin/logwatch --output mail --format html --mailto root --range yesterday --service all

7. 执行安全审计

在确保Linux服务器的安全之后,您应该执行安全审计,以便发现您可能错过的任何安全漏洞。你可以使用Lynis,这是一个开源软件,它可以执行:

  • 安全审计;
  • 符合性测试(如PCI, HIPAA, SOx);
  • 渗透测试;
  • 漏洞检测;
  • 系统加固。

如何使用Lynis

首先,通过克隆Lynis的Github仓库来安装它。这可以确保你安装最新版本的Lynis。

git clone https://github.com/CISOfy/lynis

切换到我们克隆Lynis的目录:

cd lynis

最后,使用以下命令运行Lynis:

lynis audit system

你可以在他们的官方网站了解更多关于Lynis的信息。

恭喜你阅读了另一篇加固Linux服务器的指南。我希望你学到了新东西。文章来源地址https://www.toymoban.com/news/detail-652767.html

到了这里,关于加强你的Linux服务器安全性的7个步骤,可以防止至少90%的攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Service Mesh和Kubernetes:加强微服务的通信与安全性

    🎈个人主页:程序员 小侯 🎐CSDN新晋作者 🎉欢迎 👍点赞✍评论⭐收藏 ✨收录专栏:大数据系列 ✨文章内容: 🤝希望作者的文章能对你有所帮助,有不足的地方请在评论区留言指正,大家一起学习交流!🤗 Kubernetes已经成为云原生应用程序的事实标准,它为容器编排和管

    2024年02月08日
    浏览(43)
  • WebSphere是IBM开发的一套企业级应用服务器软件,提供了强大的安全功能,以保护企业应用程序的安全性和机密性

    WebSphere是IBM开发的一套企业级应用服务器软件,提供了强大的安全功能,以保护企业应用程序的安全性和机密性。下面是WebSphere提供的一些主要安全功能的介绍: 身份验证(Authentication):WebSphere支持多种身份验证机制,包括基于用户名和密码的认证、基于数字证书的认证、

    2024年03月11日
    浏览(64)
  • 华为云云耀云服务器 L 实例使用,从性能、性价比、易用性、稳定性和安全性等方面进行评测

    华为云云耀云服务器 L 实例是一款面向中小企业和开发者的云服务器产品。下面我们将从性能、性价比、易用性、稳定性和安全性等方面进行评测,并将其与同类产品进行对比。 性能 华为云云耀云服务器 L 实例基于最新的处理器技术,具备卓越的计算性能和响应速度。经过

    2024年02月07日
    浏览(61)
  • 你的服务器还安全吗?用户数据是否面临泄露风险?

    一系列严重的网络安全事件引起了广泛关注,多家知名公司的服务器遭到黑客挟持,用户的个人数据和敏感信息面临泄露的风险。这些事件揭示了网络安全的脆弱性和黑客攻击的威胁性,提醒着企业和个人加强对网络安全的重视。 蔚来数据泄露,被勒索225万美元等额比特币,

    2024年02月11日
    浏览(53)
  • Linux服务器安全设置

    参考文章: https://www.cnblogs.com/dadonggg/p/7977099.html https://linux.cn/article-2518-1.html https://www.136.la/nginx/show-83625.html 密码的复杂度越高,毋庸置疑,安全性肯定相对就越高。 编辑 /etc/pam.d/system-auth 文件,找到同时具有“password”和“pam_cracklib.so”字段并且附加有 “ucredit=-1 lcredit=-2

    2024年02月07日
    浏览(47)
  • 设置空闲超时选项“ClientAliveCountMax” ”ClientAliveInterval“ 参数来加强ssh连接的稳定性和安全性

    一般是用sudo vim /etc/ssh/sshd_config 编译sshd文件中的这两个选项来解决服务器与ssh客户端在长时间无操作断连的问题。 \\\'\\\'\\\' sudo vim /etc/ssh/sshd_config 查找是否有ClientAliveInterval 0和ClientAliveCountMax 3,如何没有,则在文件后添加 ClientAliveInterval 60 ClientAliveCountMax 3 \\\'\\\'\\\' ClientAliveInterval 设置为

    2024年02月10日
    浏览(49)
  • Linux基线安全检测-服务器安全配置检测

    众所周知,服务器的安全配置是我们安全生产环境中很重要也是最为“硬性”的第一步; 譬如说,一个服务器创建好之后,它没有禁止空密码登录,那岂不是“人人都可以踩它两脚”,随便一个人都可以登录进去然后干一些“见不的人”的事情,因此,我们要打好第一枪,在

    2024年03月26日
    浏览(57)
  • linux服务器远程控制安全配置

    一、设置linux服务器用户登录错误次数锁定配置         为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。         1、登录失败处理功能策略(服务器终端)                 注:用户锁定期间,无论在输入正确还是错误的密码

    2024年04月12日
    浏览(41)
  • Linux 服务器如何做好安全防护?

    Linux服务器安全技巧有: 网络安全重磅福利:入门进阶全套282G学习资源包免费分享! 1. 物理系统的安全性 配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下一步,启用BIOS密码,同时启用GRUB的密码保护,这样可以限制对系统的物理访问。 2. 磁盘分区 使用不同的分区很重要,

    2024年02月22日
    浏览(50)
  • 如何保护linux服务器远程使用的安全

    服务器安全是一个非常敏感的问题,因服务器远程入侵导致数据丢失的安全问题频频出现,一旦服务器入侵就会对个人和企业造成巨大的损失。因此,在日常使用服务器的时候,我们需要采取一些安全措施来保障服务器的安全性。 目前服务器系统使用到比较多的就是Linux,大

    2024年01月25日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包