-->
全平易近充电节 | 3月26日~30日 2000位IT行业拭魅战专家邀请你一路充电进修!
本文汇总整顿一些Linux办事器安然相干的常识,有一些常识是每个体系治理员都应当烂熟于心的,就不多说了,比如
- 务必包管体系是最新的
- 经常改换暗码 - 应用数字、字母和非字母的符号组合
- 赐与用户最小的权限,知足他们日常应用所需即可
- 只安装那些真正须要的软件包
下面是一些轻易被新手忽视的Linux安然设置要点,
完成之后,就获得两个文件:
更改SSH默认端口
在搭建好一台全新的办事器后要做的第一件工作就是更改SSH的默认端口。这个小小的修改可以或许使你的办事器避免受到成千上万的暴力进击(LCTT 译注:不更改默认端口相当于黑客们知道你家的门商标,如许他们只须要一把一把的试钥匙就可能打开你家的锁)。
- sudo vim /etc/ssh/sshd_config
找到下面这行:
- #Port 22
“#”号表示这行是注释。起首删除#号,然后把端标语改成目标端口。端标语不克不及跨越65535,确保要指定的端标优绫腔有被体系或其它办事占用。建议在[维诽谤科]上查看常用端标语列表。在本文中,应用这个端标语:
然后保存并封闭文件。
接下来的一步是:
应用SSH密钥认证
在经由过程SSH拜访办事器时,应用SSH密钥进行认证是尤其重要的。如许做为办事器增长了额外的保护,确保只有那些拥有密钥的人才能拜访办事器。
要更改默认的SSH端口,先打开sshd_config文件:
在本地机械上运行下面敕令以生成SSH密钥:
- ssh-keygen -t rsa
你会看到下面的输出,询问要周详钥写到哪一个文件里,并且设置一个暗码:
- Generating public/private rsa key pair.
- Enter file in which to save the key (/root/.ssh/id_rsa): my_key
- Enter passphrase (empty for no passphrase):
- Enter same passphrase again:
- Your identification has been saved in my_key.
- Your public key has been saved in my_key.pub.
- The key fingerprint is:
- SHA256:MqD/pzzTRsCjZb6mpfjyrr5v1pJLBcgprR5tjNoI20A
- my_key
- my_key.pub
接下来把my_key.pub拷贝到~/.ssh/authorized_key中
- cp my_key.pub ~/.ssh/authorized_keys
- scp -P16543 authorized_keys user@yourserver-ip:/home/user/.ssh/
至此,你就可以大年夜这台本地机械上无暗码地拜访办事器了。
封闭SSH的暗码认证
既然已经有了SSH密钥,那么封闭SSH的暗码认证就会更安然了。再次打开并编辑sshd_config,按如下设置:
- ChallengeResponseAuthentication no
- PasswordAuthentication no
- UsePAM no
- chkconfig service off
封闭Root登录
下面关键的一步是封闭root用户的直接拜访,而应用sudo或su来履行治理员义务。起首须要添加一个有root权限的新用户,所以编辑这个路径下的sudoers文件:
推荐阅读
全平易近充电节 | 3月26日~30日 2000位IT行业拭魅战专家邀请你一路充电进修! 如不雅想让Ubuntu办事器的安然机>>>详细阅读
本文标题:Linux系统安全加固需注意的几个要点及实际安全配置分享
地址:http://www.17bianji.com/lsqh/40821.html
1/2 1