如何保证Linux服务器的安全

很少见有人马上为一台新安装的服务器做安全措施，然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后？我也做过相同的事，这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示，确保服务器安全没有你想得那样难。在攻击开始后，俯瞰你的“堡垒”，也相当享受。

这篇文章为 Ubuntu 12.04.2 LTS 而写，你也可以在任何其他 Linux 分发版上做相同的事情。

 

我从哪儿开始？

如果服务器已经有了一个公有IP，你会希望立即锁定 root 访问。事实上，你得锁定整个ssh访问，并确保只有你可以访问。增加一个新用户，把它加入admin组（在/etc/sudoers预配置以拥有sudo访问权限）。

sudo的目的：为非根用户授予根用户的权限；
配置文件：/etc/sudoers
visudo命令编辑修改/etc/sudoers配置文件
1、一般用户赋权设置：
[root@localhost ~]# visudo
……前面省略
69 ## Syntax:
70 ##
71 ##      user    MACHINE=COMMANDS
72 ##
73 ## The COMMANDS section may have other options added to it.
74 ##
75 ## Allow root to run any commands anywhere
76 root    ALL=(ALL)       ALL
77

admin

ALL=(ALL)       ALL         //新增加用户行

/etc/ssh/sshd_config   锁定 root 访问


重新加载SSH，使用修改生效，之后尝试在一个新会话中登陆来确保所有事情正常工作。如果你不能登陆，你将仍然拥有你的原始会话来做修改。

/etc/init.d/sshd restart

 

更新服务器

既然你是访问服务器的唯一用户，你就不用担心黑客鬼鬼祟祟进入，再次正常呼吸。当有一些针对你服务器的更新时，正是修补的机会，所以动手吧，就现在。

 

安装防火墙

安装现在正最流行的防火墙软件？好，行动吧。那就配置一个防火墙。之后你总是可以增加另一个异常，几分钟额外的工作并不会折腾死你。Iptables在Ubuntu里预装了，所以去设置一些规则吧。

/etc/iptables/rules

通过 iptables-apply 命令为规则集生效。如果你丢失连接，修补你的规则，在继续之前再试一下

创建文件 /etc/network/if-pre-up.d/iptables，然后写入下面内容。当你启动服务器的时候，将自动载入你的iptables规则。

/etc/network/if-pre-up.d/iptables

现在给它执行权限，执行文件，以确保它正常载入

 

用 Fail2ban 处理潜在黑客

当谈到安全的时，Fail2ban 是我最喜欢的工具之一，它将监控你的日志文件，并且可以临时禁止那些正在滥用你资源，或者正在强制肆虐你的SSH连接，或者正在dos攻击你web服务器的用户。

具体安装查看URL  http://blog.csdn.net/zimuxin/article/details/45742999
Install Fail2ban

虽然 Fail2ban 安装一个默认配置(/etc/fail2ban/jail.conf)，但我们希望在 /etc/fail2ban/jail.local 写配置，所以把它拷贝到那儿。

 

配置

把 ignoreip 行修改为你的ip，并且可以设置禁止恶意用户的时间量(默认是10分钟)。你也将希望设置一个destemail，这里我通常输入我自已的email地址，再在后面加上,fail2ban@blocklist.de 。BlockList.de 是一个跟踪并且自动报告黑客IP的系统。

/etc/fail2ban/jail.local

这有一些其他的你想检查的配置，尽管缺省配置已经相当不错了，所以，快速浏览这些，直到你读到Actions章节。

 

Actions

Actions 允许你对恶意行为作出反应，然而当我们想要它禁止和发邮件的时候，默认是禁用了 iptables。值得感谢的是，有一个预配置文件
action_wml，它恰恰是做这个的。

/etc/fail2ban/jail.local

 

Jails 监控

为了让Fail2ban工作，需要了解要监控哪些东西。这些已在Jails部分的配置文件，并且这有一些预载入而未启用的例子。既然到目前为止，你仅仅在服务器上启用了SSH访问，那我们就只启用SSH和SSH-DDos 监控，然而你还是会想给安装在这台服务器上的公共访问服务增加新的监控。

/etc/fail2ban/jail.local

 

让变化生效

既然我们已经配置了Fail2ban，你将希望重新载入它，并且确保向iptables增加了合适的规则。

在任何时间，你都可以使用sudo iptables -L 来列出你的规则，随后列出所有当前禁止的 IP。此时，Fail2ban正在处理两个恶意的用户。

Banned IPs

 

保持最新更新

你可能现在拥有一个已经锁定并且准备投入使用的服务器，然而这并不是你安全之旅的终点。保持最新更新(并且总是首先在非产品环境下测试)，总是关闭你不需要的端口，定期检查你的日志，并且由内而外了解你的服务器。

 

HackerNews 上的讨论

我的这篇文章，在
HackerNews 上有一些很好的评论，如果你对不同观点和更好的安全性感兴趣的话，我建议你去看看。这篇文章目的是作为服务器安全的新手指南，在这篇文章结束的时候，并不意味着你的服务器是无懈可击的。用本文来快速锁定一个新服务器，在它之上为你特有的情况建立其他措施。你可能希望查询 IPV6 安全，改变你的SSH端口(通过隐藏达到安全目的)，安全内核(SELinux和GRSecurity)，跟踪系统改变，并且如果你的服务器曾经不安全或已经在线相当长时间了的话，全面检查一番。一台服务器有好几百个入口点，并且每一个你安装的应用都带来了额外的潜在漏洞，但是通过合适的工具，你可以免去困扰，直接去睡大觉了。