linux服务器重启步骤_保护Linux服务器的7个步骤

linux服务器重启步骤

本入门将向您介绍基本的Linux服务器安全性。 虽然它专注于Debian / Ubuntu，但是您可以将此处介绍的所有内容应用于其他Linux发行版。 我也鼓励您研究此材料并在适用的情况下进行扩展。

1.更新您的服务器

保护服务器安全的第一件事是通过应用最新的补丁程序更新本地存储库并升级操作系统和已安装的应用程序。

在Ubuntu和Debian上：

 $  sudo apt update && sudo apt upgrade -y 

在Fedora，CentOS或RHEL上：

 $  sudo dnf upgrade 

2.创建一个新的特权用户帐户

接下来，创建一个新的用户帐户。 您永远不要以root用户身份登录服务器。 而是创建您自己的帐户（“ <user> ”），赋予它sudo权限，然后使用它登录到服务器。

首先创建一个新用户：

 $  adduser < username > 

通过将（ -a ） sudo组（ -G ）附加到用户的组成员身份，授予新用户帐户sudo权限：

 $  usermod -a -G sudo < username > 

3.上传您的SSH密钥

您将要使用SSH密钥登录到新服务器。 您可以使用ssh-copy-id命令将预先生成的SSH密钥上传到新服务器：

 $  ssh-copy-id < username >@ ip_address 

现在，您无需输入密码即可登录新服务器。

4.安全的SSH

接下来，进行以下三个更改：

• 禁用SSH密码认证
• 限制root远程登录
• 限制对IPv4或IPv6的访问

使用您选择的文本编辑器打开/ etc / ssh / sshd_config并确保以下行：

   
   

    
    

     
     PasswordAuthentication 
     
     yes 
     
     

PermitRootLogin 
     
     yes 
    
    
   
   

看起来像这样：

   
   

    
    

     
     PasswordAuthentication no
     
     

PermitRootLogin no
    
    
   
   

接下来，通过修改AddressFamily选项将SSH服务限制为IPv4或IPv6。 要将其更改为仅使用IPv4（对大多数人来说应该没问题），请进行以下更改：

 AddressFamily inet 

重新启动SSH服务以启用您的更改。 请注意，在重新启动SSH服务器之前，与服务器建立两个活动连接是一个好主意。 有了额外的连接，您可以在重新启动出错的情况下修复所有问题。

在Ubuntu上：

 $  sudo service sshd restart 

在Fedora或CentOS或任何使用Systemd的系统上：

 $  sudo systemctl restart sshd 

5.启用防火墙

现在，您需要安装防火墙，启用防火墙并对其进行配置，以仅允许您指定的网络流量。 简易防火墙 （UFW）是iptables的易于使用的界面，可大大简化防火墙的配置过程。

您可以通过以下方式安装UFW：

 $  sudo apt install ufw 

默认情况下，UFW拒绝所有传入连接并允许所有传出连接。 这意味着服务器上的任何应用程序都可以访问Internet，但是任何尝试访问服务器的应用程序都无法连接。

首先，确保您可以通过启用对SSH，HTTP和HTTPS的访问来登录：

   
   

    
    

     
     $ 
     
     sudo ufw allow 
     
     ssh 
     
     

$ 
     
     sudo ufw allow http
     
     

$ 
     
     sudo ufw allow https
    
    
   
   

然后启用UFW：

 $  sudo ufw enable 

您可以通过以下方式查看允许和拒绝哪些服务：

 $  sudo ufw status 

如果您想禁用UFW，可以通过键入以下内容来禁用：

 $  sudo ufw disable 

您还可以使用已经安装并集成到某些发行版中的firewall-cmd 。

6.安装Fail2ban

Fail2ban是一个用于检查服务器日志以查找重复或自动攻击的应用程序。 如果找到任何内容，它将更改防火墙以永久地或在指定的时间内阻止攻击者的IP地址。

您可以通过键入以下内容来安装Fail2ban：

 $  sudo apt install fail2ban -y 

然后复制随附的配置文件：

 $  sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.local 

并重新启动Fail2ban：

 $  sudo service fail2ban restart 

这里的所有都是它的。 该软件将不断检查日志文件以查找攻击。 一段时间后，该应用程序将建立相当多的禁用IP地址列表。 您可以通过以下方法请求SSH服务的当前状态来查看此列表：

 $  sudo fail2ban-client status ssh 

7.删除未使用的面向网络的服务

几乎所有Linux服务器操作系统都启用了一些面向网络的服务。 您将希望保留其中大多数。 但是，您可能要删除一些。 您可以使用ss命令查看所有正在运行的网络服务：

 $  sudo ss -atpu 

ss的输出将取决于您的操作系统。 这是您可能看到的示例。 它显示SSH（sshd）和Ngnix（nginx）服务正在侦听并准备连接：

   
   

    
    

     
     tcp LISTEN 
     
     0 
     
     128 
     
     * :http 
     
     * : 
     
     * users: 
     
     ( 
     
     ( 
     
     "nginx" , 
     
     pid = 
     
     22563 , 
     
     fd = 
     
     7 
     
     ) 
     
     ) 
     
     

tcp LISTEN 
     
     0 
     
     128 
     
     * :ssh 
     
     * : 
     
     * users: 
     
     ( 
     
     ( 
     
     "sshd" , 
     
     pid = 
     
     685 , 
     
     fd = 
     
     3 
     
     ) 
     
     ) 
    
    
   
   

删除未使用的服务（“ <service_name> ”）的方式将因您的操作系统及其使用的程序包管理器而异。

要删除Debian / Ubuntu上未使用的服务：

 $  sudo apt purge < service_name > 

要在Red Hat / CentOS上删除未使用的服务：

 $  sudo yum remove < service_name >  

再次使用ss -atup来验证未使用的服务是否不再安装和运行。

最后的想法

本教程介绍了加固Linux服务器所需的最低要求。 根据使用服务器的方式，可以并且应该启用其他安全层。 这些层可以包括诸如单个应用程序配置，入侵检测软件以及启用访问控制（例如，两因素身份验证）之类的东西。

翻译自: https://opensource.com/article/19/10/linux-server-security

linux服务器重启步骤