安全强化你的Linux服务器的七个步骤

通过七个简单的步骤来加固你的 Linux 服务器。

这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu，但是你可以将此处介绍的所有内容应用于其他 Linux 发行版。我也鼓励你研究这份材料，并在适用的情况下进行扩展。

1、更新你的服务器

保护服务器安全的第一件事是更新本地存储库，并通过应用最新的修补程序来升级操作系统和已安装的应用程序。

在 Ubuntu 和 Debian 上：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> apt update </span><span class="pun">&&</span><span class="pln"> </span><span class="kwd">sudo</span><span class="pln"> apt upgrade </span><span class="pun">-</span><span class="pln">y</span>

在 Fedora、CentOS 或 RHEL：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> dnf upgrade</span>

2、创建一个新的特权用户

接下来，创建一个新的用户帐户。永远不要以 root 身份登录服务器，而是创建你自己的帐户（用户），赋予它 sudo 权限，然后使用它登录你的服务器。

首先创建一个新用户：

1. <span class="pln">$ adduser </span><span class="pun"><</span><span class="pln">username</span><span class="pun">></span>

通过将 sudo 组（-G）附加（-a）到用户的组成员身份里，从而授予新用户帐户 sudo 权限：

1. <span class="pln">$ </span><span class="kwd">usermod</span><span class="pln"> </span><span class="pun">-</span><span class="pln">a </span><span class="pun">-</span><span class="pln">G </span><span class="kwd">sudo</span><span class="pln"> </span><span class="pun"><</span><span class="pln">username</span><span class="pun">></span>

3、上传你的 SSH 密钥

你应该使用 SSH 密钥登录到新服务器。你可以使用 ssh-copy-id 命令将预生成的 SSH 密钥上传到你的新服务器：

1. <span class="pln">$ </span><span class="kwd">ssh</span><span class="pun">-</span><span class="pln">copy</span><span class="pun">-</span><span class="kwd">id</span><span class="pln"> </span><span class="pun"><</span><span class="pln">username</span><span class="pun">></span><span class="lit">@ip_address</span>

现在，你无需输入密码即可登录到新服务器。

4、安全强化 SSH

接下来，进行以下三个更改：

• 禁用 SSH 密码认证
• 限制 root 远程登录
• 限制对 IPv4 或 IPv6 的访问

使用你选择的文本编辑器打开 /etc/ssh/sshd_config 并确保以下行：

1. <span class="typ">PasswordAuthentication</span><span class="pln"> </span><span class="kwd">yes</span>
2. <span class="typ">PermitRootLogin</span><span class="pln"> </span><span class="kwd">yes</span>

改成这样：

1. <span class="typ">PasswordAuthentication</span><span class="pln"> </span><span class="kwd">no</span>
2. <span class="typ">PermitRootLogin</span><span class="pln"> </span><span class="kwd">no</span>

接下来，通过修改 AddressFamily 选项将 SSH 服务限制为 IPv4 或 IPv6。要将其更改为仅使用 IPv4（对大多数人来说应该没问题），请进行以下更改：

1. <span class="typ">AddressFamily</span><span class="pln"> inet</span>

重新启动 SSH 服务以启用你的更改。请注意，在重新启动 SSH 服务之前，与服务器建立两个活动连接是一个好主意。有了这些额外的连接，你可以在重新启动 SSH 服务出错的情况下修复所有问题。

在 Ubuntu 上：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> service </span><span class="kwd">sshd</span><span class="pln"> restart</span>

在 Fedora 或 CentOS 或任何使用 Systemd 的系统上：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> </span><span class="kwd">systemctl</span><span class="pln"> restart </span><span class="kwd">sshd</span>

5、启用防火墙

现在，你需要安装防火墙、启用防火墙并对其进行配置，以仅允许你指定的网络流量通过。（Ubuntu 上的）简单的防火墙（UFW）是一个易用的 iptables 界面，可大大简化防火墙的配置过程。

你可以通过以下方式安装 UFW：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> apt install ufw</span>

默认情况下，UFW 拒绝所有传入连接，并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网，但是任何尝试访问服务器的内容都无法连接。

首先，确保你可以通过启用对 SSH、HTTP 和 HTTPS 的访问来登录：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw allow </span><span class="kwd">ssh</span>
2. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw allow http</span>
3. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw allow https</span>

然后启用 UFW：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw enable</span>

你可以通过以下方式查看允许和拒绝了哪些服务：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw status</span>

如果你想禁用 UFW，可以通过键入以下命令来禁用：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> ufw disable</span>

你还可以（在 RHEL/CentOS 上）使用 firewall-cmd，它已经安装并集成到某些发行版中。

6、安装 Fail2ban

Fail2ban 是一种用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何攻击，它会更改防火墙以永久地或在指定的时间内阻止攻击者的 IP 地址。

你可以通过键入以下命令来安装 Fail2ban：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> apt install fail2ban </span><span class="pun">-</span><span class="pln">y</span>

然后复制随附的配置文件：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> </span><span class="kwd">cp</span><span class="pln"> </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">fail2ban</span><span class="pun">/</span><span class="pln">jail</span><span class="pun">.</span><span class="pln">conf </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">fail2ban</span><span class="pun">/</span><span class="pln">jail</span><span class="pun">.</span><span class="kwd">local</span>

重启 Fail2ban：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> service fail2ban restart</span>

这样就行了。该软件将不断检查日志文件以查找攻击。一段时间后，该应用程序将建立相当多的封禁的 IP 地址列表。你可以通过以下方法查询 SSH 服务的当前状态来查看此列表：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> fail2ban</span><span class="pun">-</span><span class="pln">client status </span><span class="kwd">ssh</span>

7、移除无用的网络服务

几乎所有 Linux 服务器操作系统都启用了一些面向网络的服务。你可能希望保留其中大多数，然而，有一些你或许希望删除。你可以使用 ss 命令查看所有正在运行的网络服务：（LCTT 译注：应该是只保留少部分，而所有确认无关的、无用的服务都应该停用或删除。）

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> </span><span class="kwd">ss</span><span class="pln"> </span><span class="pun">-</span><span class="pln">atpu</span>

ss 的输出取决于你的操作系统。下面是一个示例，它显示 SSH（sshd）和 Ngnix（nginx）服务正在侦听网络并准备连接：

1. <span class="pln">tcp LISTEN </span><span class="lit">0</span><span class="pln"> </span><span class="lit">128</span><span class="pln"> </span><span class="pun">*:</span><span class="pln">http </span><span class="pun">*:*</span><span class="pln"> </span><span class="kwd">users</span><span class="pun">:((</span><span class="str">"nginx"</span><span class="pun">,</span><span class="pln">pid</span><span class="pun">=</span><span class="lit">22563</span><span class="pun">,</span><span class="pln">fd</span><span class="pun">=</span><span class="lit">7</span><span class="pun">))</span>
2. <span class="pln">tcp LISTEN </span><span class="lit">0</span><span class="pln"> </span><span class="lit">128</span><span class="pln"> </span><span class="pun">*:</span><span class="kwd">ssh</span><span class="pln"> </span><span class="pun">*:*</span><span class="pln"> </span><span class="kwd">users</span><span class="pun">:((</span><span class="str">"sshd"</span><span class="pun">,</span><span class="pln">pid</span><span class="pun">=</span><span class="lit">685</span><span class="pun">,</span><span class="pln">fd</span><span class="pun">=</span><span class="lit">3</span><span class="pun">))</span>

删除未使用的服务的方式因你的操作系统及其使用的程序包管理器而异。

要在 Debian / Ubuntu 上删除未使用的服务：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> apt purge </span><span class="pun"><</span><span class="pln">service_name</span><span class="pun">></span>

要在 Red Hat/CentOS 上删除未使用的服务：

1. <span class="pln">$ </span><span class="kwd">sudo</span><span class="pln"> </span><span class="kwd">yum</span><span class="pln"> remove </span><span class="pun"><</span><span class="pln">service_name</span><span class="pun">></span>