Linux服务器基本安全技巧,让你的服务更加安全
|
然后以root权限执行下面命令:
只需等待安装程序完成,然后编辑CSF的配置文件:
默认情况下CSF是以测试模式运行。通过将“TESTING”的值设置成0,切换到product模式。
下面要设置的就是服务器上允许通过的端口。在csf.conf中定位到下面的部分,根据需要修改端口: # 允许入站的 TCP 端口TCP_IN = "20,21,25,53,80,110,143,443,465,587,993,995,16543"# 允许出站的 TCP 端口TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,16543"# 允许入站的 UDP 端口UDP_IN = "20,21,53"# 允许出站的 UDP 端口# 要允许发出 traceroute 请求,请加 33434:33523 端口范围到该列表 UDP_OUT = "20,21,53,113,123" 请根据需要逐一设置,推荐只使用那些需要的端口,避免设置对端口进行大范围设置。此外,也要避免使用不安全服务的不安全端口。比如只允许端口465和587来发送电子邮件,取代默认的SMTP端口25。(LCTT 译注:前提是你的邮件服务器支持 SMTPS) 重要:千万不要忘记允许自定义的 ssh 端口。 允许你的IP地址通过防火墙,而绝不被屏蔽,这一点很重要。IP地址定义在下面的文件中:
被屏蔽了的IP地址会出现在这个文件中:
一旦完成更改,使用这个命令重启csf:
下面是在某台服务器上的csf.deny文件的部分内容,来说明CSF是很有用的:
可以看到,尝试通过暴力法登录的IP地址都被屏蔽了,真是眼不见心不烦啊! 锁住账户 如果某个账户在很长一段时间内都不会被使用了,那么可以将其锁住以防止其它人访问。使用如下命令:
当然,这个账户依然可以被root用户使用(LCTT 译注:可用 su 切换为该账号)。 了解服务器上的服务 服务器的本质是为各种服务提供访问功能。使服务器只运行所需的服务,关闭没有使用的服务。这样做不仅会释放一些系统资源,而且也会使服务器变得更加安全。比如,如果只是运行一个简单的服务器,显然不需要X显示或者桌面环境。如果不需要Windows网络共享功能,则可以放心关闭Samba。 使用下面的命令能查看伴随系统启动而启动的服务:
如果系统运行了systemd,执行这条命令:
然后使用下面的命令关闭服务:
在上面的例子中,把“service”替换成真正想要停止的服务名称。实例如下:
小结 这篇文章的目的是涵盖一些通用的安全步骤以便帮助你保护服务器。你可以采取更多方式去增强对服务器的保护。请记住保证服务器安全是你的责任,在维护服务器安全时尽量做出明智的选择,尽管并没有什么容易的方式去完成这件事情,而建立“完善的”安全需要花费大量的时间和测试直到达到想要的结果。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
