如何提升伺服器網路安全
Ⅰ 如何保證Linux伺服器的網路安全
本文將向你介紹基本的 Linux 伺服器安全知識。雖然主要針對 Debian/Ubuntu,但是你可以將此處介紹的所有內容應用於其他 Linux 發行版。我也鼓勵你研究這份材料,並在適當的情況下進行擴展。
1、更新你的伺服器
保護伺服器安全的第一件事是更新本地存儲庫,並通過應用最新的修補程序來升級操作系統和已安裝的應用程序。
在 Ubuntu 和 Debian 上:
$ sudo apt update && sudo apt upgrade -y
在 Fedora、CentOS 或 RHEL:
$ sudo dnf upgrade
2、創建一個新的特權用戶
接下來,創建一個新的用戶帳戶。永遠不要以 root 身份登錄伺服器,而是創建你自己的帳戶(用戶),賦予它 sudo 許可權,然後使用它登錄你的伺服器。
首先創建一個新用戶:
$ adser <username>
通過將 sudo 組(-G)附加(-a)到用戶的組成員身份里,從而授予新用戶帳戶 sudo 許可權:
$ usermod -a -G sudo <username>
3、上傳你的 SSH 密鑰
你應該使用 SSH 密鑰登錄到新伺服器。你可以使用 ssh--id 命令將 預生成的 SSH 密鑰 上傳到你的新伺服器:
$ ssh--id <username>@ip_address
現在,你無需輸入密碼即可登錄到新伺服器。
4、安全強化 SSH
接下來,進行以下三個更改:
禁用 SSH 密碼認證
限制 root 遠程登錄
限制對 IPv4 或 IPv6 的訪問
- PasswordAuthentication yes
- PermitRootLogin yes
- PasswordAuthentication no
- PermitRootLogin no
- AddressFamily inet
- $ sudo service sshd restart
- $ sudo systemctl restart sshd
- $ sudo apt install ufw
- $ sudo ufw allow ssh
- $ sudo ufw allow http
- $ sudo ufw allow https
- $ sudo ufw enable
- $ sudo ufw status
- $ sudo ufw disable
- $ sudo apt install fail2ban -y
- $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
- $ sudo service fail2ban restart
- $ sudo fail2ban-client status ssh
- $ sudo ss -atpu
- tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))
- tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))
- $ sudo apt purge <service_name>
- $ sudo yum remove <service_name>
使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 並確保以下行:
改成這樣:
接下來,通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4(對大多數人來說應該沒問題),請進行以下更改:
重新啟動 SSH 服務以啟用你的更改。請注意,在重新啟動 SSH 服務之前,與伺服器建立兩個活動連接是一個好主意。有了這些額外的連接,你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。
在 Ubuntu 上:
在 Fedora 或 CentOS 或任何使用 Systemd 的系統上:
5、啟用防火牆
現在,你需要安裝防火牆、啟用防火牆並對其進行配置,以僅允許你指定的網路流量通過。(Ubuntu 上的) 簡單的防火牆 (UFW)是一個易用的 iptables 界面,可大大簡化防火牆的配置過程。
你可以通過以下方式安裝 UFW:
默認情況下,UFW 拒絕所有傳入連接,並允許所有傳出連接。這意味著伺服器上的任何應用程序都可以訪問互聯網,但是任何嘗試訪問伺服器的內容都無法連接。
首先,確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄:
然後啟用 UFW:
你可以通過以下方式查看允許和拒絕了哪些服務:
如果你想禁用 UFW,可以通過鍵入以下命令來禁用:
你還可以(在 RHEL/CentOS 上)使用 firewall-cmd ,它已經安裝並集成到某些發行版中。
6、安裝 Fail2ban
Fail2ban 是一種用於檢查伺服器日誌以查找重復或自動攻擊的應用程序。如果找到任何攻擊,它會更改防火牆以永久地或在指定的時間內阻止攻擊者的 IP 地址。
你可以通過鍵入以下命令來安裝 Fail2ban:
然後復制隨附的配置文件:
重啟 Fail2ban:
這樣就行了。該軟體將不斷檢查日誌文件以查找攻擊。一段時間後,該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表:
7、移除無用的網路服務
幾乎所有 Linux 伺服器操作系統都啟用了一些面向網路的服務。你可能希望保留其中大多數,然而,有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網路服務:(LCTT 譯註:應該是只保留少部分,而所有確認無關的、無用的服務都應該停用或刪除。)
ss 的輸出取決於你的操作系統。下面是一個示例,它顯示 SSH(sshd)和 Ngnix(nginx)服務正在偵聽網路並准備連接:
刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。
要在 Debian / Ubuntu 上刪除未使用的服務:
要在 Red Hat/CentOS 上刪除未使用的服務:
再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。
以上文章來源www.idccoupon.com,歡迎一起交流討論學習。
Ⅱ 如何加強網路安全
中小型企業應採取四個步驟來加強其網路安全。這四個步驟分別是:
1.安全審查——接入互聯網的中小型企業應該選擇一家安全公司簽訂合同,請安全公司對其網路進行審查和危險評估。這項工作應該包括內部網路安全審查和外部滲透測試。當中小型企業對其網站或防火牆進行重大改造時,都應進行此類審查。而且,就象每個人應該每年檢查一次自己的牙齒一樣,這類審查應該至少每年進行一次。 2.防火牆配置——確保防火牆的正確安裝至關重要。中小型企業應盡量使用那些提供基本安全功能、但無需復雜的安全知識的防火牆應用設備。另外,這些企業還需聘請ISP,請他們提供防火牆管理和攻擊偵測之類的服務。這樣做要比聘用兼職的防火牆管理員更省成本,也更有效。 3.嚴格防範電子郵件病毒——對接收的電子郵件進行掃描,查看其中是否攜帶病毒。這是一個非常重要的安全措施。中小型企業可以利用台式機或伺服器端的反病毒保護措施。 4.採用強大的遠程訪問認證技術——提供撥號訪問電子郵件和其他企業系統的中小型企業,應該停止使用單獨的台式機數據機,轉而使用統一的共用數據機和遠程訪問伺服器,以硬體技術來驗證遠程用戶的身份。
Ⅲ 有沒有什麼辦法可以提高伺服器的安全性
提高伺服器的安全性,可以使用主機加固系統,主機加固是給伺服器上一把鎖,業務系統的伺服器都很脆弱,即使裝了殺毒軟體,部署了防火牆,並定時打補丁,但仍然會有各種風險,各種中毒,各種被入侵,核心數據還是會被偷窺、被破壞、被篡改、被偷走。所以要對伺服器加固。
推薦使用MCK雲私鑰,伺服器安全加固系統,重新定義操作系統各模塊的功能,構建獨立的身份鑒別體系,在當殺毒軟體、防火牆都不起作用時,仍然能頑強的對核心數據進行保護,防止木馬病毒入侵,防止核心數據被偷窺、被破壞、被篡改、被偷走!