【51CTO.com 快譯】任何一套關(guān)鍵性系統(tǒng)都需要高度重視服務(wù)器安全性，特別是在公有云環(huán)境當中。在今天的文章中，我們將專注于基本原理與一般性最佳實踐層面對此加以解讀。

我在操作系統(tǒng)配置完成之后始終堅持執(zhí)行的安全改進舉措。

讓我們以Ubuntu 16.04為例：

1.保持內(nèi)核隨時更新。

環(huán)境雖然不應(yīng)該盲目更新，不過在剛剛安裝完成的服務(wù)器當中，版本更新一般都能夠帶來更理想的安全成效。

其中一項常規(guī)建議是禁用各項未使用采取行動。不過我個人非常信任發(fā)行版供應(yīng)商。一般來講，我認為他們給出的默認安裝及啟用選項還是相當可靠的。

apt-get -y update 

2. 重置Root密碼。

我們有時候需要在ssh無法起效的情況下訪問各虛擬機的網(wǎng)絡(luò)控制臺，這類狀況包括iptables規(guī)則將我們屏蔽、操作系統(tǒng)內(nèi)核出現(xiàn)問題或者虛擬機神秘重啟等等。

root_pwd="DevOpsDennyChangeMe1" 
echo "root:$root_pwd" | chpasswd 

3. 強化SSHD。

在keyfile當中僅允許ssh訪問，這意味著黑客無法輕松猜到我們的密碼內(nèi)容。使用除端口22之外的其它ssh監(jiān)聽端口，這能夠有效避免惡意ssh登錄嘗試。

# Disable ssh by password 
sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/g' \ 
/etc/ssh/sshd_config 
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' \ 
/etc/ssh/sshd_config 
grep PasswordAuthentication /etc/ssh/sshd_config 
# Use another ssh port 
sshd_port="2702" 
sed -i "s/^Port 22/Port $sshd_port/g" /etc/ssh/sshd_config 
grep "^Port " /etc/ssh/sshd_config 
# Restart sshd to take effect 
service ssh restart 

4.利用防火墻限制惡意訪問。

這可能是大家應(yīng)當采取的最為重要的安全改進舉措了。

# Disable ssh by password 
sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/g' \ 
/etc/ssh/sshd_config 
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' \ 
/etc/ssh/sshd_config 
grep PasswordAuthentication /etc/ssh/sshd_config 
# Use another ssh port 
sshd_port="2702" 
sed -i "s/^Port 22/Port $sshd_port/g" /etc/ssh/sshd_config 
grep "^Port " /etc/ssh/sshd_config 
# Restart sshd to take effect 
service ssh restart 
# Have a clean start with iptables 
iptables -F; iptables -X 
echo 'y' | ufw reset 
echo 'y' | ufw enable 
ufw default deny incoming 
ufw default deny forward 
# Allow traffic of safe ports 
ufw allow 22,80,443/tcp 
# Allow traffic from certain port 
ufw allow 2702/tcp 
# Allow traffic from trusted ip 
ufw allow from 52.74.151.55 

5.向命令歷史中添加時間戳。

通過這種方式，我們能夠查看哪些命令曾在何時得以執(zhí)行。

echo export HISTTIMEFORMAT=\"%h %d %H:%M:%S \" >> /root/.bashrc 

6.生成SSH密鑰對。

永遠、永遠不要在不同服務(wù)器之間共享同一ssh密鑰對!

exec ssh-agent bash 
# General new key pair 
ssh-keygen 
# Load key pair 
ssh-add 

7.高度關(guān)注var/log。

使用logwatch以自動執(zhí)行檢查與分析任務(wù)。這是一套實用的解析型perl腳本，能夠分析系統(tǒng)日志活動并生成報告。其中需要關(guān)注的重點日志文件包括：

◆/var/log/kern.log

◆/var/log/syslog

◆/var/log/ufw.log

◆/var/log/auth.log

◆/var/log/dpkg.log

◆/var/log/aptitude

◆/var/log/boot.log

◆/var/log/cron.log

◆/var/log/mailog

exec ssh-agent bash 
# General new key pair 
ssh-keygen 
# Load key pair 
ssh-add 
apt-get install -y logwatch 
# Full check. Takes several minutes 
logwatch --range ALL 
# Only check log of Today 
logwatch --range Today 

8.運行第三方安全檢查工具。

并不是每位用戶都具備強大的安全知識儲備。因此最好選擇可靠且多樣化的工具方案。Lynis易于使用且功能可靠——其僅作為單一bash文件存在。

apt-get install -y lynis 
# Run lynis to check security issues 
lynis -c 

9.適當備份無法恢復(fù)的數(shù)據(jù)。

永遠要籌備一套B計劃。作為最后補救手段，其應(yīng)該能夠?qū)⑾到y(tǒng)快速恢復(fù)至新服務(wù)器之上。

原文標題：9 Useful Tips For Linux Server Security  作者：Denny Zhang

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】