网站建设相关专业,个人网页设计作品及代码怎么写,个人网站类型,猪八戒做网站唠唠闲话
一开始接触服务器#xff0c;我只是把它当博客的托管网站#xff0c;源文件用 GitHub 备份#xff0c;所以网站被黑了也没啥关系。但随着使用深入#xff0c;网站逐渐加入我的日常工作流中#xff0c;而且有了使用更多服务的需求。在这种情况下#xff0c;服务…唠唠闲话
一开始接触服务器我只是把它当博客的托管网站源文件用 GitHub 备份所以网站被黑了也没啥关系。但随着使用深入网站逐渐加入我的日常工作流中而且有了使用更多服务的需求。在这种情况下服务器安全是一个非常需要重视的问题了。
当然还有一个动机。实验室服务器由我和几位同学负责日常管理前段时间还出现过被挖矿的行为。与云服务器不同的是实验室服务器缺少企业提供的保护容易成为被攻击对象。所以在安全意识层面有必要进行一次“升级”。
本篇主要参考 Bensz 的 Linux 基础 个人 VPS 安全非常适合新手入门。 网络安全是一个相对的概念你要做到的不是绝对安全而是比大多数人安全。 这样攻击者就不会去啃你这个硬骨头而去找一些软柿子那些没有安全防护的VPS捏了。 安全措施
接下来是具体实践的部分出于安全考虑在修改核心配置时建议 先备份原始文件。修改配置和重启服务后先在新的终端尝试连接服务器确认无误后再退出当前的连接。如果错误修改了配置当前连接状态通常不会掉发现新终端连不上还能及时改回来。
mkdir backup
sudo cp /etc/ssh/sshd_config ./backup此外这些策略更多是防止网络攻击而不影响机房对服务器的连接。比如禁用 Root 密码登录后仍可以正常使用云服务器的“远程登录”。同理机房登录服务器也不受这些策略影响。
禁用 root 密码登录
一般情况下主机是允许 root 用户远程登陆的。而 root 用户的名字一般就是 root。所以如果攻击者知道你 VPS 的 ip 地址ping 你的域名获得、用户名默认有一个 root 可用和 ssh 端口号默认 22 那么保护你电脑的就只有你的用户密码了。
root 用户拥有服务器的最高权限一旦被攻陷服务器就完全任人宰割了。所以第一步在首次配置好 ssh 密钥后我们将 root 的登录功能禁掉。
如下用编辑 ssh 配置文件
sudo vim /etc/ssh/sshd_config输入 /Permi 回车检索找到 PermitRootLogin将其注释掉
#LoginGraceTime 2m
PermitRootLogin yes
# PermitRootLogin prohibit-password然后重启 sshd 服务
sudo systemctl restart sshd顺带一提重启 ssh 服务有八条命令可用暂时不清楚区别
sudo systemctl restart/reload sshd/ssh
sudo service ssh/sshd restart/reload禁用普通用户密码登录
除了禁用 root 用户也可以设置所有用户不能密码登录这一来攻击者就不可能用暴力穷举的方式登录任何账号了。
同前边操作先
vim /etc/ssh/sshd_config检索并修改参数为 PasswordAuthentication no然后重启 ssh 服务。
当然禁用所有用户密码登录的措施可能太严厉了也可以检索 Match User对某一用户单独修改。
这段代码通常在文件最后
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server修改如下并重启服务。
# Example of overriding settings on a per-user basis
Match User usernamePasswordAuthentication no创建用户名时应避免使用常见名词比如 test 之类。攻击者通常会对 IP 进行批量无差别攻击由于对个体信息缺少了解它们只能用常见词表来尝试用户名。比如上次实验室被挖矿就是前管理员创了个名为 tmp 的用户且设置了弱口令密码。
更改默认 ssh 端口
默认的 ssh 端口号是 22。SSH 的端口一般建议把它改成一个大于 1024 小于 65535 的整数。举个例子比如改为 1234。
同前边操作用 vim 检索 /etc/ssh/sshd_config 的 Port 参数更改如下
Port 1234
#AddressFamily any
#ListenAddress 0.0.0.0修改后重启 ssh 服务生效。 注意如果开启了防火墙需开放新端口后再修改 ssh 端口具体见下文。 密码复杂度策略
除了禁用登录也可以采用相对温和的策略来防止穷举通过修改 PAMPluggable Authentication Modules来设置用户密码的强度、长度和重试间隔。
设置密码强度
这部分参考了 How to enable and enforce secure password policies on Ubuntu。
安全起见先备份原始文件
mkdir -p backup
sudo cp /etc/pam.d/common-password ./backup/安装相关依赖
sudo apt install libpam-pwquality -y这是原始文件 /etc/pam.d/common-password 的部分内容
# heres the fallback if no module succeeds
password requisite pam_deny.so将 requisite 所在行修改为
password requisite pam_pwquality.so retry3 minlen8 difok3requisite 常用参数的解释
retryN限制用户在输入错误密码后可以再次尝试的次数。minlenN指定密码的最小长度。difokN指定密码中必须包含的不同字符数。ucredit-N指定密码中必须包含的大写字母数。lcredit-N指定密码中必须包含的小写字母数。dcredit-N指定密码中必须包含的数字数。ocredit-N指定密码中必须包含的特殊字符数。
注意这些参数中的 -N 表示至少需要包含 N 个字符而省略符号 - 则表示必须刚好包含 N 个字符。
对于新用户上述设置将立即生效。对于现有用户他们的密码策略将在下一次更改密码时应用
设置重试间隔
我们要用到一个 pam_fallock 的模块。
auth required pam_faillock.so preauth silent audit deny3 unlock_time1200
auth [defaultdie] pam_faillock.so authfail audit deny3 unlock_time600这部分设置后没效果不确定是否和模块版本有关但这个感觉挺重要后续再排查下问题。 开启防火墙
前边主要是针对 ssh 登录的保护策略除此之外可以用防火墙工具 ufw(Uncomplicated Firewall) 保护其他端口。 个人服务器建议开启防火墙这样能可以加一层保护对当前开放的端口有更好的把控。实验室服务器使用场景复杂方便起见考虑可以不启用。 先查看是否安装了防火墙
which ufw # /usr/sbin/ufw如果没有直接安装一个
sudo apt-get install ufw防火墙常用命令
sudo ufw status # 查看当前状态 | inactive 代表关闭
sudo ufw enable # 开启防火墙
sudo ufw disable # 关闭防火墙
sudo ufw allow 22 # 允许访问 22 端口
sudo ufw allow from 127.0.0.1 to any port 22 # 允许 127.0.0.1 访问 22 端口
sudo ufw status numbered # 显示序号作为 delete 操作的索引
sudo ufw delete 数字 # 删除第几个规则
# 删除规则更建议的方式用 delete 规则
sudo ufw delete allow 22 # 删除规则 allow 22
sudo ufw delete allow 22/tcp # 删除规则 allow 22/tcp
sudo ufw default deny incoming # 禁止所有进站的流量
sudo ufw default allow outgoing # 允许所有出站的流量如果前边更改了 ssh 端口为 1234则这里执行
sudo ufw allow 1234/tcp comment this is for ssh
sudo ufw delete 22禁用 Ping
除了加强服务器自身的安全防护还可以用禁 ping 的方式避免服务器被穷举搜索到。
StackExchange 上给了很多种方案How to Disable Ping Response (ICMP echo) in Linux all the time?
这里采用 Iptables 方法来弄执行
iptables -I INPUT -p icmp --icmp-type echo-request -j DROP在服务器上 ping 自己ping 域名或 IP会发现已经 ping 不通了。
iptables 还有其他规则和用法后边有空再补充更新。
Fail2ban 防扫描和暴力破解 和前边设置登录重试间隔一样这部分我的实践也没有成功可能 PAM 版本问题后续再尝试 Fail2ban 是防止后台暴力扫描的流行保护软件之一安装方法
sudo apt update sudo apt install fail2ban -y 查看防护状态
sudo fail2ban-client status返回内容如下
Status
|- Number of jail: 1
- Jail list: sshd编辑 /etc/fail2ban/jail.conf 文件检索 /sshd modes 来配置 ssh 的监控策略
# To use more aggressive sshd modes set filter parameter mode in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See tests/files/logs/sshd or filter.d/sshd.conf for usage example and details.
#mode normal
enabled true
port ssh
logpath %(sshd_log)s
backend %(sshd_backend)s
bantime 600我在云服务器执行这一步设置后似乎未生效尽管能看到用户尝试多少次但并不会终止用户的尝试很奇怪。。。
小结
本篇针对服务器安全采用了几种策略禁用密码登录root/所有用户/特定用户开启防火墙更改 ssh 端口增强密码复杂度禁 ping 以及使用 Fail2Ban 工具。
这些可以让 VPS 更安全但不是绝对的后续接触到其他重要的安全策略再来进行补充。
