Liunx服务器的几个安全防护措施 - 汇站网

Liunx服务器的几个安全防护措施

2021-05-08 0 753

前言

很多服务器不时地被黑客入侵。因此,这里向您展示如何轻松地保护 Linux 服务器。 这并不是一个全面的安全指南。 然而,它可以帮助您阻止几乎 90%的流行后端攻击,如蛮力登录尝试和 DDoS。

准备

一台 linux 服务器
一台本地计算机
对命令行有一个基本的了解。
一、配置 SSH Keys

要访问远程服务器,您必须使用密码登录或使用 SSH 密钥。

密码的问题在于它们很容易被强行免授权版(您将在下面进一步了解如何防止这种情况)。此外,在需要访问服务器的任何时候,都必须通过这两种方法登录。

为了避免上述缺点,您必须设置 SSH 密钥身份验证。它比密码更安全,因为黑客无法强行免授权版密码。

由于不需要输入密码,连接到服务器也更容易更快。

下面是如何为您的服务器设置 SSH 身份验证。 在本地计算机上,输入以下命令生成 SSH 密钥对:

ssh-keygen

上面的命令将通过几个步骤来生成 SSH 密钥。

使用以下命令将公钥添加到服务器:

ssh-copy-id username@remote_host

确保用真实的用户名和服务器的 IP 地址替换用户名和 remote_host。系统会提示您输入密码。

尝试登录到您的服务器与命令:

ssh username@remote_host

这次不会提示您输入密码。

二、实时同步系统时间

许多安全协议利用您的系统时间来运行 cron 作业、日期日志和执行其他关键任务。

如果系统时间不正确,可能会对服务器造成负面影响。为了防止这种情况发生,您可以安装一个 NTP 客户机。该客户机将使您的系统时间与全局 NTP 服务器同步。

使用以下命令安装 NTP 客户端:

sudo apt install ntp

完成后, 您将不再需要担心再次设置系统日期。

三、查看活动端口

服务器上的应用程序公开某些端口,以便网络中的其他应用程序可以访问它们。

黑客还可以在您的服务器上安装后门,并公开一个端口,通过该端口他们可以控制服务器。

由于这个原因,我们不希望您的服务器侦听我们不知道的端口上的请求。

要查看活动端口,请使用以下命令:

sudo ss -lntup

查看输出并研究您不熟悉的任何端口或进程。

尝试发现并跟踪潜在的有害服务和流程。

这里列举出一些可能被人利用的有害的 TCP/UDP 端口列表。

31/tcp  Agent 31, Hackers Paradise, Masters Paradise

1170/tcp    Psyber Stream

1234/tcp    Ultors Trojan

1243/tcp    SubSeven server (default for V1.0-2.0)

1981/tcp    ShockRave

2001/tcp    Trojan Cow

2023/tcp    Ripper Pro

2140/udp    Deep Throat, Invasor

2989/tcp    Rat backdoor

3024/tcp    WinCrash

3150/tcp    Deep Throat, Invasor

3700/tcp    Portal of Doom

4950/tcp    ICQ Trojan

6346/tcp    Gnutella

6400/tcp    The Thing

6667/tcp    Trinity intruder-to-master and master-to-daemon

SubSeven server (default for V2.1 Icqfix and beyond)

6670/tcp    Deep Throat

12345/tcp   NetBus 1.x, GabanBus, Pie Bill Gates, X-Bill

12346/tcp   NetBus 1.x

16660/tcp   Stacheldraht intruder-to-master

18753/udp   Shaft master-to-daemon

20034/tcp   NetBus 2 Pro

20432/tcp   Shaft intruder-to-master

20433/udp   Shaft daemon-to-master

27374/tcp   SubSeven server (default for V2.1-Defcon)

27444/udp   Trinoo master-to-daemon

27665/tcp   Trinoo intruder-to-master

30100/tcp   NetSphere

31335/udp   Trinoo daemon-to-master

31337/tcp   Back Orifice, Baron Night, Bo Facil

33270/tcp   Trinity master-to-daemon

33567/tcp   Backdoor rootshell via inetd (from Lion worm)

33568/tcp   Trojaned version of SSH (from Lion worm)

40421/tcp   Masters Paradise Trojan horse

60008/tcp   Backdoor rootshel via inetd (from Lion worm)

65000/tcp   Stacheldraht master-to-daemon

四、设置防火墙

防火墙允许您阻止/允许来自服务器上特定端口的流量。为此,我通常使用 UFW。

UFW 的工作原理是让您配置规则如下:

允许或拒绝
输入或输出流量
流量来源和流量去处
特定或所有端口
以下介绍中,配置将将阻塞除显式允许外的所有网络流量。安装其他程序时,请记住启用运行程序所需的必要端口。

设置 UFW

install UFW:

sudo apt-get install ufw

您可以拒绝所有输出流量:

sudo ufw default deny outgoing comment ‘deny all outgoing traffic’

或者允许所有输出流量

sudo ufw default allow outgoing comment ‘allow all outgoing traffic’

接下来,我们要拒绝所有传入的流量:

sudo ufw default deny incoming comment ‘deny all incoming traffic’

当然要排除 SSH 连接,以便我们可以访问系统。

sudo ufw limit in ssh comment ‘allow SSH connections in’

如果您将 UFW 配置为拒绝所有输出流量,请不要忘记根据您的需要允许特定的流量。以下是一些例子:

# allow traffic out on port 53 — DNS

sudo ufw allow out 53 comment ‘allow DNS calls out’

# allow traffic out on port 123 — NTP

sudo ufw allow out 123 comment ‘allow NTP out’

# allow traffic out for HTTP, HTTPS, or FTP

# apt might needs these depending on which sources you’re using

sudo ufw allow out http comment ‘allow HTTP traffic out’

sudo ufw allow out https comment ‘allow HTTPS traffic out’

sudo ufw allow out ftp comment ‘allow FTP traffic out’

# allow whois

sudo ufw allow out whois comment ‘allow whois’

# allow traffic out on port 68 — the DHCP client

# you only need this if you’re using DHCP

sudo ufw allow out 68 comment ‘allow the DHCP client to update’

若要拒绝端口 99 上的任何流量,请使用以下命令:

sudo ufw deny 99

最后,使用下面的命令启动 UFW:

sudo ufw enable

使用以下命令查看 UFW 状态:

sudo ufw status

五、防止自动攻击

有两个实用程序可以用来防止大多数自动攻击:

PSAD
Fail2Ban
PSAD 和 Fail2Ban 的区别

我们了解到端口提供对服务器上应用程序的访问。

攻击者可能决定扫描您的服务器,寻找打开的端口,然后使用这些端口访问服务器。

PSAD 监控网络活动,以检测和选择性地阻止此类扫描和其他类型的可疑流量,如 DDoS 或 OS 指纹尝试。

而 Fail2Ban 扫描各种应用程序(如 FTP)的日志文件,并自动禁止显示恶意迹象(如自动登录尝试)的 ip。

下面的指南将向您展示如何安装和配置 PSAD 和 Fail2Ban,以便它们与 UFW 一起工作。

install Fail2Ban

对于 Debian 或 Ubuntu 使用以下命令:

sudo apt install fail2ban

CentOS/RHEL 使用以下命令:

sudo yum install fail2ban

配置 Fail2Ban

# 备份默认配置

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

nano /etc/fail2ban/jail.local

在配置文件中查找 banaction =,将其设为 ufw。

banaction = ufw

然后重新加载 fail2ban 配置:

fail2ban-client reload

这样简单配置之后,来自同一 IP 的三次错误登录尝试将封禁该 IP 10 分钟。我个人将封禁期限调成了 7 天。 以下命令可以查看 fail2ban 的状态:

fail2ban-client status sshd

Status for the jail: sshd

|- Filter

|  |- Currently failed: 1

|  |- Total failed: 6

|  `- File list:    /var/log/auth.log

`- Actions

|- Currently banned: 1

|- Total banned: 2

`- Banned IP list:   xxx.xxx.xxx.xxx

如以下所见,有一个 IP 已经被防火墙封禁了。我们也可以通过 ufw 的报告确认这一点:

ufw status

Status: active

 

To                         Action      From

—                         ——      —-

Anywhere                   REJECT      xxx.xxx.xxx.xxx

80/tcp                     ALLOW       Anywhere

22                         ALLOW       Anywhere

443                        ALLOW       Anywhere

install PSAD

项目主页: http://www.cipherdyne.org/psad/

apt-get 安装:

sudo apt-get install psad

检查当前的状态:

sudo psad -S

六、安装 logwatch

服务器上的应用程序常常将日志消息保存到日志文件中。除非您打算手动监视日志文件,否则需要安装 logwatch。

logwatch 扫描系统日志文件并总结。

您可以直接从命令行运行它,或者将其调度为按循环调度运行。例如,您可以配置 logwatch,将日志文件的每日摘要通过电子邮件发送给您。请注意,您的服务器将需要能够发送电子邮件使其工作。

logwatch 使用服务文件来了解如何读取和总结日志文件。您可以在/usr/share/logwatch/scripts/services.中看到所有的服务文件

logwatch 的配置文件/usr/share/logwatch/default.conf/logwatch.conf 指定了默认选项。您可以通过命令行参数覆盖它们。

要在 Ubuntu 或 Debian 上安装 logwatch,请运行以下命令:

apt-get install logwatch

CentOS 可以使用命令:

yum install logwatch

您可以尝试直接运行 logwatch,以防需要查看它收集的样本。

sudo /usr/sbin/logwatch –output stdout –format text –range yesterday –service all

最后,配置 logwatch 给我们发送一封包含日志文件摘要的每日电子邮件。为此,打开文件/etc/cron.daily/00logwatch,找到执行行,修改为:

/usr/sbin/logwatch –output mail –format html –mailto root –range yesterday –service all

注意:服务器需要安装 Sendmail 服务,这里就不累赘安装步骤, 网上有很多教程。

七、执行安全审计

在保护了 Linux 服务器之后,应该执行安全审计,以便发现您可能错过的任何安全漏洞。

要做到这一点,你可以使用 Lynis,一个开源软件,可以执行:

安全审计
依从性测试(例如 PCI、HIPAA、SOx)
渗透测试
漏洞检测
系统硬化
Lynis 的使用

首先,通过 git clone 来安装 Lynis。确保您安装了最新版本的 Lynis。

git clone https://github.com/CISOfy/lynis

切换到 lynis 目录

cd lynis

最后,使用以下命令运行审计:

lynis audit system

转载请注明:汇站网 » Liunx 服务器的几个安全防护措施

收藏 (0)

微信扫一扫

支付宝扫一扫

点赞 (0)

免责 声明

本资源仅用于个人 学习和研究使用,禁止用于任何商业环境!

 1.  本网站名称:汇站网
 2.  本站永久网址:https://www.huizhanii.com/
 3.  本站所有资源来源于网友投稿和高价 购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务 !
 4.  本站所有资源的展示图片和信息不代表本站的立场 !本站只是储蓄平台及搬运
 5.  下载者禁止在服务器和虚拟机下进行搭建运营,本站 所有资源不支持联网运行!只允许调试,参考和研究!!!!
 6.  未经原版权作者许可,禁止用于任何 商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
 7.  为尊重作者版权,请在下载24小时 内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
 8.  若资源侵犯了您的合法权益, 请持 您的版权证书和相关原作品信息来信通知我们请来信     通知我们 我们会及时删除,给您带来的不便,我们深表歉意!
 9.  如下载链接失效、广告或者压缩包 问题请联系站长处理!
 10.  如果你也有好源码或者教程,可以 发布到网站,分享有金币奖励和额外收入!
 11.  本站资源售价只是赞助,收取费用 仅维持本站的日常运营所需!
 12.  因源码具有可复制性,一经赞助 ,不得以任何形式退款。
 13.  更多详情请点击查看

汇站网 Linux Liunx服务器的几个安全防护措施 https://www.huizhanii.com/2473.html

汇站

站长资源下载中心-找源码上汇站

常见问题
  • 如果付款后没有弹出下载页面,多刷新几下,有问题联系客服!
查看详情
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情

相关文章

发表评论
暂无评论
  随机评论   表情   下载本站到电脑桌面


表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情
登录后评论
联系官方客服

为您解决烦忧 - 24小时在线 专业服务

(汇站网)一个专注站长资源的平台网站,提供最新的网站模板和整站源码,内容包含各类精品网页模板,企业网站模板,网站模板,DIV+CSS模板,织梦模板,帝国cms模板,discuz模板,wordpress模板,个人博客论坛模板,上千种免费网页模板下载尽在汇站网.找源码上汇站.huizhanii.com