Linux服務器安全強化的技巧有哪些

本篇內容介紹了“Linux服務器安全強化的技巧有哪些”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

Linux 服務器安全強化的技巧有哪些？ Linux 服務器強化更新服務器、創建新的特權用戶、上傳 SSH 密鑰、安全強化 SSH、啟用防火墻、安裝 Fail2ban、移除無用的網絡服務七個模塊。

1、更新服務器
保護服務器安全的第一件事是更新本地存儲庫，并通過應用最新的修補程序來升級操作系統和已安裝的應用程序。
在 Ubuntu 和 Debian 上：
$ sudo apt update && sudo apt upgrade -y
在 Fedora、CentOS 或 RHEL：
$ sudo dnf upgrade

2、創建新的特權用戶
創建一個新的用戶帳戶。不要以 root 身份登錄服務器，而是創建你自己的帳戶（用戶），賦予它 sudo 權限，然后使用它登錄你的服務器。
首先創建一個新用戶：
$ adduser <username>
通過將 sudo 組（-G）附加（-a）到用戶的組成員身份里，從而授予新用戶帳戶 sudo 權限：
$ usermod -a -G sudo <username>

3、上傳 SSH 密鑰
你應該使用 SSH 密鑰登錄到新服務器。你可以使用 ssh-copy-id 命令將預生成的 SSH 密鑰上傳到你的新服務器：
$ ssh-copy-id <username>@ip_address
現在，你無需輸入密碼即可登錄到新服務器。

4、安全強化 SSH
接下來，進行以下三個更改：
禁用 SSH 密碼認證
限制 root 遠程登錄
限制對 IPv4 或 IPv6 的訪問
使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 并確保以下行：
PasswordAuthentication yes
PermitRootLogin yes
改成這樣：
PasswordAuthentication no
PermitRootLogin no
接下來，通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4（對大多數人來說應該沒問題），請進行以下更改：
AddressFamily inet
重新啟動 SSH 服務以啟用你的更改。請注意，在重新啟動 SSH 服務之前，與服務器建立兩個活動連接是一個好主意。有了這些額外的連接，你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。
在 Ubuntu 上：
$ sudo service sshd restart
在 Fedora 或 CentOS 或任何使用 Systemd 的系統上：
$ sudo systemctl restart sshd

5、啟用防火墻
現在，你需要安裝防火墻、啟用防火墻并對其進行配置，以僅允許你指定的網絡流量通過。（Ubuntu 上的）簡單的防火墻（UFW）是一個易用的 iptables 界面，可大大簡化防火墻的配置過程。
你可以通過以下方式安裝 UFW：
$ sudo apt install ufw
默認情況下，UFW 拒絕所有傳入連接，并允許所有傳出連接。這意味著服務器上的任何應用程序都可以訪問互聯網，但是任何嘗試訪問服務器的內容都無法連接。
首先，確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄：
$ sudo ufw allow ssh
$ sudo ufw allow http
$ sudo ufw allow https
然后啟用 UFW：
$ sudo ufw enable
你可以通過以下方式查看允許和拒絕了哪些服務：
$ sudo ufw status
如果你想禁用 UFW，可以通過鍵入以下命令來禁用：
$ sudo ufw disable
你還可以（在 RHEL/CentOS 上）使用 firewall-cmd，它已經安裝并集成到某些發行版中。

6、安裝 Fail2ban
Fail2ban 是一種用于檢查服務器日志以查找重復或自動攻擊的應用程序。如果找到任何攻擊，它會更改防火墻以永久地或在指定的時間內阻止攻擊者的 IP 地址。
你可以通過鍵入以下命令來安裝 Fail2ban：
$ sudo apt install fail2ban -y
然后復制隨附的配置文件：
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
重啟 Fail2ban：
$ sudo service fail2ban restart
這樣就行了。該軟件將不斷檢查日志文件以查找攻擊。一段時間后，該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表：
$ sudo fail2ban-client status ssh

7、移除無用的網絡服務
幾乎所有 Linux 服務器操作系統都啟用了一些面向網絡的服務。你可能希望保留其中大多數，然而，有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網絡服務：（LCTT 譯注：應該是只保留少部分，而所有確認無關的、無用的服務都應該停用或刪除。）
$ sudo ss -atpu
ss 的輸出取決于你的操作系統。下面是一個示例，它顯示 SSH（sshd）和 Ngnix（nginx）服務正在偵聽網絡并準備連接：
tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))
tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))
刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。
要在 Debian / Ubuntu 上刪除未使用的服務：
$ sudo apt purge <service_name>
要在 Red Hat/CentOS 上刪除未使用的服務：
$ sudo yum remove <service_name>
再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。

“Linux服務器安全強化的技巧有哪些”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！