linux/ubuntu服务器安全问题配置

服务器的安全问题并不是很复杂,采取下面的原则阻止最常见的攻击行为。
经验丰富的管理员都知道,随着服务器数量和用户的增加,用户管理成本会原来越大
以下命名以ubuntu为例,其它版本linux会有所不同。

passwd

 首先将root密码改的很复杂,因为你不需要记住它,只需要在安全的地方保存它即可。
apt-get update
apt-get upgrade

更新软件源列表,更新软件包。
安装Fail2ban
apt-get install fail2ban

fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙iptables屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
配置登录用户,假如用户名为deploy

useradd deploy
mkdir /home/deploy
mkdir /home/deploy/.ssh
chmod 700 /home/deploy/.ssh

使用public key认证,更安全,更方便
PublicKey是用来公开的,可以将其放到SSH服务器自己的帐号中,而PrivateKey只能由自己保管,用来证明自己身份,在服务器上添加id_rsa.pub内容,并配置权限。
vim /home/deploy/.ssh/authorized_keys
 
chmod 400 /home/deploy/.ssh/authorized_keys
chown deploy:deploy /home/deploy -R

测试新用户&允许Sudo
为登录的用户设置sudo密码
passwd deploy

给deploy用户配置授权
visudo
 
#添加如下
root    ALL=(ALL) ALL
deploy  ALL=(ALL) ALL

启动或禁止SSH用户及IP的登录
阻止密码和root登陆,同时允许指定ip
vim /etc/ssh/sshd_config
 
#添加如下行
PermitRootLogin no
PasswordAuthentication no
AllowUsers deploy@(your-ip) deploy@(another-ip-if-any)
 
#修改完成后重启
service ssh restart

设置防火墙
ubuntu提供了ufw命令,让防火墙配置更简单。
ufw allow from {your-ip} to any port 22
ufw allow 80
ufw allow 443
ufw enable

以上根据自己实际需求配置。
自动进行安全更新
安装unattended-upgrades可以进行自动更新,或者有选择性的安全更新。
apt-get install unattended-upgrades
 
vim /etc/apt/apt.conf.d/10periodic
 
#更新如下内容
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

更新配置文件50unattended-upgrades,只进行安全更新。
Unattended-Upgrade::Allowed-Origins {
        "Ubuntu lucid-security";
//      "Ubuntu lucid-updates";
};

安装Logwatch
Logwatch能够对Linux 的日志文件进行分析,并自动发送mail给相关处理人员,可定制需求,这样你可立马跟踪和检测到攻击行为。
apt-get install logwatch
 
vim /etc/cron.daily/00logwatch
 
#添加如下
/usr/sbin/logwatch --output mail --mailto test@gmail.com --detail high

ok,以上配置,你只需花5分钟,就能让你的服务器防御大部分攻击并且易于维护

时间: 2024-12-22 01:08:47

linux/ubuntu服务器安全问题配置的相关文章

如何在 Ubuntu 服务器中配置 AWStats

如何在 Ubuntu 服务器中配置 AWStats AWStats 是一个开源的网站分析报告工具,可以生成强大的网站.流媒体.FTP 或邮件服务器的访问统计图.此日志分析器以 CGI 或命令行方式进行工作,并在网页中以图表的形式尽可能的显示你日志中所有的信息.它可以"部分"读取信息文件,以便能够频繁并快速处理大量的日志文件.它支持绝大多数 Web 服务器日志文件格式,包括 Apache,IIS 等. 本文将帮助你在 Ubuntu 上安装配置 AWStats. 安装 AWStats 包

linux VPS服务器安全配置步骤详解

在开通了 Linux 系统的 VPS 或服务器后,我们有必要做一些基本的安全设置. 大概有如下几个方面: 1. 禁止root帐号ssh,使用自定义帐号ssh: 这样一来,黑客要先猜到帐号,然后才能猜解密码: 2. 禁止帐号登录,使用pubkey登录: 3. 作ip ACL,只允许几个特定的IP访问: 4. ssh端口迁移,将默认22端口改为其他端口: 5. 启动尽量少的服务:如无必要,不起服务. 配置开始 一.关闭 SSH 密码登陆 首先,你需要有自己的 SSH Key,如果你使用 Window

基于Linux网关服务器squid配置过程详解_Linux

前言 在此,我们要配置一个只对内部网络提供代理服务的 Proxy Server.它具有如下功能它将用户分为高级用户和普通用户两种,对高级用户采用网卡物理地址识别的方法, 普通用户则需要输入用户名和口令才能正常使用. 高级用户没有 访问时间和文件类型的限制,而普通用户只在上班时可以访问以及一些其它的限制. 安装 从源中安装 源中自带稳定版本,执行下面的命令进行安装 sudo apt-get install squid squid-common 源码编译安装 当然你也可以到官方网站下载最新的版本进行

Linux DHCP服务器的配置

DHCP概述 1 采用DHCP的必要性 在TCP/IP网络上,每台工作站要能存取网络上的资源之前,都必须进行基本的网络配置,一些主要参数诸如IP地址,子网掩码,缺省网关,DNS等必不可少,还可能需要一些附加的信息如IP管理策略之类.对于一个稍微大点的网络而言,网络的管理和维护的任务是相当繁重的.一台计算机从一个子网转移到另一个子网,就要重新对系统进行配置.对于普通水平的工作站用户是不能赋予他们配置自己的工作站网络的权限,而且也没有这个必要.如果一个没有相应技术水平的用户出于好奇或想学习一下的目的

linux ftp服务器架设配置教程

  Tftp服务器-安装 使用RPM包安装tftp-server 1.如果利用如下命令能够看到服务已启动, 则不用安装 [arm@localhost]# netstat -a | grep tftp 已安装结果:udp 0 0 *:tftp *:* 2.如果没有安装,执行如下命令安装. [root@localhost]# rpm -ivh tftp-server-0.42-3.1.i386.rpm(rhel5安装光盘Servers目录) 3.建立tftp的主工作目录 [root@localhos

在Linux(Ubuntu)+Nginx安装配置AjaXplorer

AjaXplorer一款牛X到不行的功能强大的PHP文件管理器. 之前看到过AjaXplorer的介绍一直没有安装使用,这几天有看到有更新了决定安装试用一下. 安装前在网络没有找到安装教程,参考官网以及安装过程中遇到问题Google后记录,整理一下分享. 1.AjaXplorer介绍 官网:http://ajaxplorer.info 下载:http://sourceforge.net/projects/ajaxplorer/ 特点 基于Web技术,有着Ajax.漂亮的UI 类似本地资源管理器的

Ubuntu下Telnet服务器的配置方法_Linux

1. 首先介绍linux中的守护进程 在Linux系统中有一个特殊的守护进程inetd(InterNET services Daemon),它用于Internet标准服务,通常在系统启动时启动.通过命令行可以给出inetd的配置文件,该配置文件列出了inetd所提供的服务清单.如果没有在命令行给出配置文件,那么inetd将从文件/etc/inetd.conf中读取它的配置信息.inetd的主要任务是为那些没有在系统初始化时启动的服务器进程监听请求,它在同配置文件中列出的服务相关联的TCP或UDP

阿里云Linux下FTP服务器搭配配置

  阿里云服务器是国内目前 最好的一个云服务器了,不过价格方面也比较贵了,下面我们来给各位介绍在阿里云Linux下FTP服务器搭配配置了,大概方法 与linux下搭配ftp服务器区别不大,只是一些小细节了. 一.aliyun Linux(Redhat)安装vsftp软件 1.更新yum源 首先需要更新系统的yum源,便捷工具下载地址:update_source.zip.这里需要注意的是,目前文件无法传输,所以想要运行 update_source.sh 只能用文本打开,复制粘贴到阿里云服务器系统运

Linux NFS服务器的安装与配置

一.NFS服务简介 NFS 是Network File System的缩写,即网络文件系统.一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布.功能是通过网络让不同的机器.不同的操 作系统能够彼此分享个别的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据,是在类Unix系统间实现磁盘文件共享的一种方法. NFS 的基本原则是"容许不同的客户端及服务端通过一组RPC分享相同的文件系统",它是独立于操作系统,容许不同硬件及操作系统的系统共同进行文件的分享. N