教你linux服務(wù)器防互聯(lián)網(wǎng)攻擊的基本安全防護措施

現(xiàn)在，中小企業(yè)的活動主要轉(zhuǎn)移到使用云服務(wù)的云上。 互聯(lián)網(wǎng)安全是一個陳詞濫調(diào)，也是一個永不過時的話題。 許多備受矚目的網(wǎng)站(包括Internet)都經(jīng)歷了安全事件。 安全攻擊和防御，滲透，審計等需要強大的專業(yè)知識和深入的加密算法。 那些擁有專業(yè)機構(gòu)的人正在尋找和找到合適的解決方案，但是作為運營商，我們不能忽略最基本的原則之一。 價格越高。 此外，我們支付的費用相對較低，這有助于保護80-90%以上的攻擊。 讓我們看一下我剛購買的云服務(wù)器的安全日志：

通過上面日志可以看出在沒做任何安全防護策略時，會有大量的掃描攻擊。如果密碼設(shè)置得比較簡單，估計服務(wù)器很快就成為黑客的肉雞了。本節(jié)我們僅講下系統(tǒng)層面的，還有web安全和數(shù)據(jù)庫安全以后再介紹，在企業(yè)中還有用到跳板機和VPN等在這由于篇幅有限也略過。

首先root用戶要禁掉遠程ssh登錄。禁root遠程登錄前先建立一個普通用戶，普通用戶建好后可以分配sudoers 權(quán)限，以方便管理系統(tǒng)服務(wù)等。

兩條命令搞定：useradd 用戶名;passwd 用戶名，輸入兩次密碼。完了id 用戶名 檢查下，再看下是否建立了用戶的home目錄，還有不要忘記用建立好的用戶ssh登錄試下。

將普通用戶加入sudo權(quán)限有兩種方式：第一種是直接將普通用戶加入到wheel組就行，加入前我們先測試下：執(zhí)行l(wèi)s /root后提示權(quán)限不允許，再執(zhí)行sudo ls /root 輸入密碼后提示不在sudoers file會向管理員報告。

在root或其他sodu用戶身份下運行如下命令：

usermod -aG wheel username ，然后用id username看下已經(jīng)加入wheel組了。

用這種方式對大多數(shù)的sudo命令是有權(quán)限的，有些還是不行。

第二種方式：vim /etc/sudoers 找到如下段落：

在root下面加上一行：username ALL=(ALL) NOPASSWD:ALL

意思表示賦予所有sudo權(quán)限并且不需當前用戶驗證密碼。加入后輸入 :wq! 強制保存退出，此文件是只讀的。這樣，下一步就可以關(guān)閉root遠程登錄了。

關(guān)閉root遠程ssh登錄操作

編輯 sshd配置文件，vim /etc/ssh/sshd_config 找到下面字段，沒有就加上。

把前頭處PermitRootLogin 改為no 保存退出。

記得重啟sshd 服務(wù)，systemctl restart sshd。重啟后再systemctl status sshd確認。

修改sshd服務(wù)默認的22監(jiān)聽端口，做一步前特別要注意確保其他端口能正常訪問再關(guān)閉22端口，不要把自己鎖在門外里，以免尷尬，影響工作。

先看下系統(tǒng)防火墻,默認是開啟的。如果需開系統(tǒng)防火墻，請把要修改的端口號后加入允許的安全策略里，另外還要看下云服務(wù)商的安全組，也要把相應(yīng)端口加進去。

執(zhí)行 firewall-cmd –list-all 查看已開放的端口如下：

防火墻加入端口執(zhí)行：firewall-cmd –zone=public –add-port=(自定義端口號)/tcp 返回success

重載防火墻使配置生效，firewall-cmd –reload 返回success

再運行 firewall-cmd –list-all 是不是你想加入的端口在里面呢?

另外，如果系統(tǒng)開啟了selinux則也要把端口加入selinux 的 ssh_port_t中。如不打算開selinux，下面的步驟請略過。

先安裝selinux的管理工具yum install –y policycoreutils-python

查詢當前ssh 服務(wù)端口：semanage port –l |grep ssh

執(zhí)行semanage port -a -t ssh_port_t -p tcp 自定義端口號。沒什么問題再執(zhí)行上面命令檢查。

接著編輯 sshd配置文件 vim /etc/ssh/sshd_config 在port 22 下面加一行：

重啟sshd服務(wù) systemctl restart sshd 查看sshd服務(wù)是否正常并檢查系統(tǒng)監(jiān)聽端口

用普通用戶和修改后的端口登錄ssh測試

這步很簡單，在此就不贅述了。測試好后還是編輯 sshd配置文件把22號端口去掉并重啟sshd服務(wù)。如果萬一哪步?jīng)]弄好或端口被阻止了，那要記得在本地shell環(huán)境操作了，現(xiàn)在云服務(wù)器一般都有VNC等遠程連接服務(wù)。