Linux服務器防互聯網攻擊的基本安全防護策略
現在中小型企業的業務基本都轉到雲上了,用的雲服務。互聯網安全問題是一個老生常談,也是永不過時的話題。包括互聯網很多大佬級的網站都出過安全事故,安全攻防、滲透、審計等涉及的專業性很強、密碼學算法等很深。那些都有專業的機構在研究和相應的解決方案,但做為運維人的我們,不要忽視一個最基本的原則,最基本細心的安全做得越到位,黑客攻破所需付出的成本和花費的代價越高。而且我們付出的成本也比較低,能防護80~90%以上的攻擊。好了,下面看下剛買的一臺雲服務器的安全日誌:
通過上面日誌可以看出在沒做任何安全防護策略時,會有大量的掃描攻擊。如果密碼設置得比較簡單,估計服務器很快就成為黑客的肉雞了。本節我們僅講下系統層面的,還有web安全和數據庫安全以後再介紹,在企業中還有用到跳板機和VPN等在這由於篇幅有限也略過。
1、 首先root用戶要禁掉遠程ssh登錄。禁root遠程登錄前先建立一個普通用戶,普通用戶建好後可以分配sudoers 權限,以方便管理系統服務等。
兩條命令搞定:useradd 用戶名;passwd 用戶名,輸入兩次密碼。完了id 用戶名 檢查下,再看下是否建立了用戶的home目錄,還有不要忘記用建立好的用戶ssh登錄試下。
將普通用戶加入sudo權限有兩種方式:第一種是直接將普通用戶加入到wheel組就行,加入前我們先測試下:執行ls /root後提示權限不允許,再執行sudo ls /root 輸入密碼後提示不在sudoers file會向管理員報告。
在root或其他sodu用戶身份下運行如下命令:
usermod -aG wheel username ,然後用id username看下已經加入wheel組了。
用這種方式對大多數的sudo命令是有權限的,有些還是不行。
第二種方式:vim /etc/sudoers 找到如下段落:
在root下面加上一行:username ALL=(ALL) NOPASSWD:ALL
意思表示賦予所有sudo權限並且不需當前用戶驗證密碼。加入後輸入 :wq! 強制保存退出,此文件是隻讀的。這樣,下一步就可以關閉root遠程登錄了。
2、 關閉root遠程ssh登錄操作
編輯 sshd配置文件,vim /etc/ssh/sshd_config 找到下面字段,沒有就加上。
把前頭處PermitRootLogin 改為no 保存退出。
記得重啟sshd 服務,systemctl restart sshd。重啟後再systemctl status sshd確認。
3、 修改sshd服務默認的22監聽端口,做一步前特別要注意確保其他端口能正常訪問再關閉22端口,不要把自己鎖在門外裡,以免尷尬,影響工作。
先看下系統防火牆,默認是開啟的。如果需開系統防火牆,請把要修改的端口號後加入允許的安全策略裡,另外還要看下雲服務商的安全組,也要把相應端口加進去。
執行 firewall-cmd –list-all 查看已開放的端口如下:
防火牆加入端口執行:firewall-cmd –zone=public –add-port=(自定義端口號)/tcp 返回success
重載防火牆使配置生效,firewall-cmd –reload 返回success
再運行 firewall-cmd –list-all 是不是你想加入的端口在裡面呢?
另外,如果系統開啟了selinux則也要把端口加入selinux 的 ssh_port_t中。如不打算開selinux,下面的步驟請略過。
先安裝selinux的管理工具yum install –y policycoreutils-python
查詢當前ssh 服務端口:semanage port –l |grep ssh
執行semanage port -a -t ssh_port_t -p tcp 自定義端口號。沒什麼問題再執行上面命令檢查。
接著編輯 sshd配置文件 vim /etc/ssh/sshd_config 在port 22 下面加一行:
重啟sshd服務 systemctl restart sshd 查看sshd服務是否正常並檢查系統監聽端口
4、 用普通用戶和修改後的端口登錄ssh測試
這步很簡單,在此就不贅述了。測試好後還是編輯 sshd配置文件把22號端口去掉並重啟sshd服務。如果萬一哪步沒弄好或端口被阻止了,那要記得在本地shell環境操作了,現在雲服務器一般都有VNC等遠程連接服務。
安全方面本來還有很多要講的,碼字好費時間啊,不知不覺就深夜了。明天還有項目要趕呢。先聊到這吧,下回再見了!
