作家
登录
17滚动

Linux服务器安全配置实例(一)引言

作者: 来源: 2017-04-06 11:42:34 阅读 我要评论

引言

很多企业的办事器经常遭受到进击,出现的进击方法有:http办事进击、操作体系马脚溢出进击、sql注入进击等。

大年夜多办事器都托管在阿里云或者腾讯云上,这些云办事也都供给杀毒软件和防火墙功能,如:阿里云盾。上述进击大年夜部分都已经被厂商供给的云安然拦截住了,然则毕竟没有绝对的安然。

这里记录下我日常平凡对办事器的安然设备,欲望对大年夜家有一些赞助,照样没有绝对的安然,然则可以或许有备无患照样好的。别的┞封里指出,在描述进击我们的那些人,我拒绝应用黑客这个词语,黑客的含义已经被如今的社会涂上了一层让人仇恨憎恶的色彩,然则实际的含义并不是入侵、进击、破解,所以在今后的描述中我与其他文┞仿作者不合,采取别的的称号,就是恶意进击者或恶意的小伙伴。

而在外网对其进行扫描,是无法得出结不雅的:

办事器设备

对于Linux操作体系,可以启动selinux和iptables对体系的拜访进行过滤,同时可以降低用户权限,降低一些过程的运行权限。来包管办事器被渗入渗出后的威逼降到最低。别的须要及时修复竽暌功用的马脚,进级内核版本到稳定版,web应用法度榜样足够强健,降低数据库用户权限。

下面拿我的办事器举例,我的办事器设备如下:

  • 阿里云办事深圳可用区B
  • 带宽:2Mbps
  • CPU: 1核
  • 内存: 1024 MB
  • 带宽:2Mbps
  • 操作体系: CentOS 7.0 64位

在办事器上设备有tomcat7.0、jre7、nginx1.9.9、mariadb5.5、php5.4.16。对外供给我的blog和微信"大众,"平台的接口。

站长站端口扫描结不雅如下:

可以看到,大年夜扫描的结不雅来看几乎没有可应用的。

应用nmap在办事器上对本机进行扫描,结不雅:

ssh办事

ssh办事是最常用的长途登录办事,固然其比telnet安然多,然则也存在必定的安然马脚。一些不友爱的小伙伴们会应用一些不祷赝法度榜样对ssh办事进行暴力破解。对ssh办事进行恰当的设备可以完全杜绝暴力破解。同时对sshd办事进行优化设备可以加快连接速度,削减消费带宽。

编辑/etc/ssh/sshd_config:

修改如下设备(留意如不雅设备前面有#,代表设备被注释,这里我只列举出须要设备的,如不雅你的办事器上的设备被注释掉落,去掉落#打开注释即可。别的我会在设备旁边加上设备解释的注释):

今天的分享就到这里了,下一篇我们会持续讲解办事器设备的实例。

留意,这里应用了公钥认证,所以须要生成上岸的私钥和公钥,将公钥上传到办事器上,并写入到膳绫擎的AuthorizedKeysFile设备指定的公钥文件中。对于这个文件有如下请求:

①、该文件权限必须是640,所以须要履行sudo chmod 640 公钥文件,如:sudo chmod 640 /home/kid/.ssh/authorized_keys。

②、该文件的上层目次必须为700权限,所以须要履行sudo chmod 700 上层文件夹路径,如:sudo chmod 700 /home/kid。

这些设备相当简单,相对而言,对于真正的进击还差很多,所以我们还须要进行其他的一系列设备。

③、该文件可以放多个公钥,留意公钥因为特别长,有的生成对象会把一个公钥拆分成多行,但sshd办事请求一个公钥只能一行存放,所以必定要编辑成一行才好使。

上述设备完成后,重启sshd办事,sudo systemctl restart sshd,即可应用公钥认证长途登录到办事器,如不雅之前没应用过公钥登录的小伙伴,建议改完设备不椅氯狯当前登录,等待重启完后再开一个连接测试下公钥认证可否发登录成功。如不雅不成功,须要留意膳绫擎的请求!!!同时可以应用没断开连接的终端履行sudo tail -f /var/log/message检查sshd办事的日记信息,同样也需履行sudo tail -f /var/log/secure检查sshd办事的认证日记信息。在tail -f 是及时大年夜尾部监听一个办事,经常用于动态查看相干日记文件,因为是监听椅氯狯的话须要按ctrl+c停止。如许sshd办事的安然性就有很大年夜的晋升了,当然在sshd办事中还可以设备许可上岸的ip和禁止上岸的ip,这个今后我会单开文┞仿具体解释。别的为了我们的设备不被恶意修改可以履行,可以履行sudo chattr +i /etc/ssh/sshd_config 和sudo chattr +i 公钥文件(如:sudo chattr +i /home/kid/.ssh/authorized_keys),chattr +i 敕令会多某个文件设置隐蔽状况位,设置后该文件即使是root和文件所有者都无法对该文件进行删除、修改、移动等操作,包管了该文件的安然。

 

即使恶意上岸者想对sshd办事进行从新设备,把本身的公钥参加公钥文件都是无法操作的。但当你确切想要修改┞封个文件的时刻,可以应用

 1/2    1 2 下一页 尾页

  推荐阅读

  如何构建用于检测信用卡诈骗的机器学习模型?

在我们评论辩论若何计算a、b、...、z之前,我们须要解决两个当前问题: 机械进修是我们日常接触到典范多产品的经久成长动力,大年夜类似于Apple的Siri和Google的智能助手,到类似于亚马逊的>>>详细阅读


本文标题:Linux服务器安全配置实例(一)引言

地址:http://www.17bianji.com/lsqh/34601.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图