唯嘉利亚云安全 提供服务器维护、网站开发,网站安全运维,安全托管等服务!

Linux运维服务器常用安全设置


文章来源:唯嘉利亚云安全   发布时间: 2019-03-20  已有 285 人 阅读

开发运维一体的小团队,初始化新服务器也是家常便饭,本文分享几个简单的小技巧。

防止意外删除重要数据

墨菲定律告诉我们,无论概率多小,只要有可能,就一定会发生。

无论在哪台机器手抖执行了 rm -rf / 都将是灾难(其他目录也不能乱删呀),测试机可以重装,生产机就 Game Over。

借助于 Safe-rm 工具,防止意外,安装 safe-rm 亲测效果如下:

  1. $ rm -rf /
  2. /bin/rm: 在"/" 进行递归操作十分危险
  3. /bin/rm: 使用 --no-preserve-root 选项跳过安全模式
  4. $ rm -rf /var
  5. safe-rm: skipping /var

Safe-rm 替换了 rm 命令,可以设置受保护的文件或目录白名单。

Ubuntu 可直接通过 apt install safe-rm 一键安装,会把系统rm命令改成指向safe-rm的软链接。

其他OS可在 https://launchpad.net/safe-rm 站点手动下载或通过以下命令下载。

  1. wget https://repo.or.cz/safe-rm.git/snapshot/c6817ae6df4f507ee192cc62c6564bf3fd8b6e99.tar.gz

解压后参考 INSTALL 和 README 两个说明文件,将 safe-rm 脚本拷贝到 /usr/local/bin 并重命名为 rm 即可,同时确保 /usr/local/bin 在 $PATH 中。

safe-rm 脚本中有很全的受保护默认目录,想加目录可以直接改脚本或者新建 /etc/safe-rm.conf 配置文件。

注意:一旦创建 /etc/safe-rm.conf,默认设置就失效了,一定要设置全。

修改常见端口

将常见端口修改为高位端口能有效的避免端口扫描,例如:

  • 将 ssh 22 改为 29527
  • 将 3306 为为23207

安全组设置

如果购买了云服务器,需要设置安全组。

首先,添加一条规则拒绝所有端口。然后,逐一开放需要用到的端口。

核心机器使用key文件登录

这是可选项,可禁用root用户使用密码登录,采用使用SSH Key登录。

生成一对公钥、私钥。私钥下载到本地妥善保管,然后删除服务器私钥,公钥可随意公开。

  1. ssh-keygen -t rsa

创建过程中可以设置私钥文件名和密码,假设以 id_rsa_root 命名私钥,如果不需要修改,保持默认即可

  1. Generating public/private rsa key pair.
  2. Enter file in which to save the key (/root/.ssh/id_rsa): id_rsa_root
  3. Enter passphrase (empty for no passphrase):
  4. ...

此时 /root/.ssh/ 目录下生成了私钥(id_rsa_root),公钥(id_rsa_root.pub).

将公钥文件导入信用库中。

  1. cat /root/.ssh/id_rsa_root.pub >> /root/.ssh/authorized_keys

接着,设置允许使用SSH Key文件登录,修改 /etc/ssh/sshd_config 文件:

放开以下三个配置项的注释

  1. #RSAAuthentication yes
  2. #PubkeyAuthentication yes
  3. #AuthorizedKeysFile .ssh/authorized_keys

将 PasswordAuthentication 改为 no 来禁用密码登录

  1. #PasswordAuthentication yes
  2. PasswordAuthentication no

重启SSH服务

  1. service sshd restart

如果需要直接禁用 root 登录,修改:

  1. PermitRootLogin no

时间校准

执行以下命令校准时间以避免各种幺蛾子。

  1. # 设置时区
  2. cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
  3. # 校准时间
  4. ntpdate cn.pool.ntp.org

然后将 ntpdate cn.pool.ntp.org 以cron任务每天运行一次


【版权声明】:除非注明,唯嘉利亚云安全文章均为原创,转载请以链接形式标明本文标题和地址
原文标题:Linux运维服务器常用安全设置
原文地址:https://www.vgaliya.com/data-1362.html


文章标签:,