资讯专栏INFORMATION COLUMN

服务器安全基础指南

godiscoder / 760人阅读

摘要:安装打开配置文件,进行配置写入到这里,就是我个人从上次被黑当中总结的一些基本的服务器安全,而至于群里大神说的跳板机的方案,容我再消化消化再尝试部署起来。总结服务一些基本的安全配置得跟上。服务器一旦被入侵,不急。

首先,VPS 服务器被黑怎么办?

第一, 10秒之内登录你的 VPS 提供商账号,关机。
第二,切断被黑机器的外网。
第三,在相同的 VPS 提供商重开一台机器,内网登录,备份重要的信息
第四,迁移数据
第五,报废之前被黑的 VPS

最近正好接触到一次服务器由于开启redis但没注意安全设置从而被提权的入侵的事件,以下是自己做的一些小总结。

此文章适用于系统版本为:Ubuntu 14.04 64

Nginx 配置:

升级到稳定版

sudo apt-get update && sudo apt-get upgrade

sudo apt-get upgrade nginx

Nginx 目前在 Ubuntu 14.04 中稳定版本号是 1.4.6

可以通过在 VPS 上执行以下 curl 命令来查看信息:

curl -I http://localhost

返回大概是:

HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)

这里直接显示了 Nginx 的版本号,可以通过配置隐藏:

sudo vi /etc/nginx/nginx.conf

http 部分添加:

http {
        ##
        # Basic Settings
        ##
        server_tokens off;
}

重启 Nginx

sudo service nginx reload

这样再次执行 curl 就可以看到隐藏了 Nginx 的版本号了:

curl -I http://localhost
HTTP/1.1 200 OK
Server: nginx
...
X-Powered-By: PHP/5.5.9-1ubuntu4.14
...

注意到上面 X-Powered-By: PHP/5.5.9-1ubuntu4.14 这一行暴露了 PHP 的版本号,所以我们来配置 php.ini 来隐藏之,即在 php.ini 文件中设置:

expose_php = Off

如果你的服务器的 php.ini 默认就隐藏了版本,那么恭喜你。

SSH 配置:

配置 ssh ,比如关掉密码认证式登录等:

sudo vi /etc/ssh/sshd_config 

打开之后配置:

# 不允许空密码
PermitEmptyPasswords no
# 关闭密码验证登录,前提是你已经使用了 ssh 密钥验证方式登录
PasswordAuthentication no
# 如果你在服务器上手动添加了用户并将用户分配到 root 用户组,可以考虑禁止root用户登录
PermitRootLogin no

重启 ssh

sudo service ssh restart
iptables 配置

iptables 提供了一种可灵活配置安全策略防火墙框架,具体的原理可以看这篇文章:http://seanlook.com/2014/02/23/iptables-understand/

博主写文章很认真,推荐一下

开始之前,可以通过以下命令全新配置 iptables

iptables -F

注意上述命令会将你之前自己设置的过滤规则清空。

你可以查看 iptables 的相关资料,一条一条添加安全规则,也可以这样:

sudo vi /etc/iptables.up.rules

添加内容:

*filter

# Accepts all established inbound connections
 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
 -A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
 -A INPUT -p tcp --dport 443 -j ACCEPT
 -A INPUT -p tcp --dport 80 -j ACCEPT
# Allows SSH connections for script kiddies
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
 -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via "dmesg" command)
 -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
 -A INPUT -j REJECT
 -A FORWARD -j REJECT

COMMIT

其中非常值得注意的是这三条:

 # 443 通常是 ssl 的端口,如果 VPS 是作为一台web应用的服务器并且启用 https,你需要这个
 -A INPUT -p tcp --dport 443 -j ACCEPT
 # 80 端口就不多说了
 -A INPUT -p tcp --dport 80 -j ACCEPT
 # 这是 ssh 默认的 22 端口,开放给自己登录使用
 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

注意这里的 22 端口,你可以修改为其他的端口,并且关闭 22 端口。更有一种解决方案是:将生产机器 ssh 端口完全关闭,用一台同一子网下的跳板机,通过来登录目标生产机器。

其他的配置的话,你需要根据你的业务来具体配置相对应的安全策略。

写好这些配置项之后,告诉 iptables 你的配置在哪:

sudo iptables-restore < /etc/iptables.up.rules

创建 shell 脚本来开机自启动:

sudo vi /etc/network/if-up.d/iptables

添加内容:

#!/bin/sh
iptables-restore /etc/iptables.up.rules

给以可执行的权限:

chmod +x /etc/network/if-up.d/iptables

到这里,iptables 的基础设置就OK了。

配置 Fail2Ban

Fail2Ban 的工作原理是:通过监控系统的日志文件,并根据检测到的任何可疑的行为自动触发不同的防御动作,如将产生可疑行为的目标 ip 锁定等。

安装:

sudo apt-get install fail2ban

打开配置文件,进行配置:

sudo vi /etc/fail2ban/jail.conf

写入:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 3600
maxretry = 3
destemail = email@yourdomain.com
action = %(action_mw)s

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

到这里,就是我个人从上次被黑当中总结的一些基本的服务器安全,而至于群里 @little 大神说的跳板机的方案,容我再消化消化再尝试部署起来。

总结

1.服务一些基本的安全配置得跟上。
2.关注安全圈的新闻和动态,及时升级软件和修复相关安全漏洞。
3.服务器上的服务,用哪个就看哪个,不用的坚决关掉。
4.服务器一旦被入侵,不急。关机,断网,备份,迁移,舍弃。

记住:The less information you provide, the more secure you are .

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11182.html

相关文章

  • 《5G网络云基础设施安全指南》第I部分发布

    摘要:美国国家安全局和网络安全与基础设施安全局近期发布了网络云基础设施安全指南第部分防止和检测横向移动以下简称指南。如开篇所述,企业组织应积极使用微分段,以最小化环境中任何特定网络分段危害的爆炸半径。尽管云计算将在5G网络的成功落地中发挥着关键作用,但任何新技术的应用都会带来安全问题,云计算也不例外。美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)近期发布了《5G网络云基础设施安全指...

    XBaron 评论0 收藏0
  • 《推动企业上云实施指南(2018-2020年)》解读

    摘要:日前,工业和信息化部印发了推动企业上云实施指南年以下简称实施指南,指导和促进企业运用云计算加快数字化网络化智能化转型升级。稳妥有序实施上云。为更好推进企业上云工作,实施指南提出了相关政策措施。8月10日,信息化和软件服务业司发布了《推动企业上云实施指南(2018-2020年)》(以下简称实施指南)解读。《实施指南》显示,云计算是推动信息技术能力实现按需供给、提高信息化建设利用水平的新技术、新...

    DevTalking 评论0 收藏0
  • 美国联邦政府云计算安全策略分析

    摘要:在美国联邦政府大力推进云计算的同时,美国政府大力研究和制定云计算安全策略。年月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发。 引言 由于云计算在经济、敏捷和创新方面的突出特点,受到美国政府高度重视。早在2009 年1 月, 美国行政管理和预算局(OMB)就开始关注云计算和虚拟化。3 月维维克·昆德拉被任命为联邦政府首席信息官委员会(CIOC)的首席信息官后即表示将推...

    laznrbfe 评论0 收藏0
  • 混合云存储的企业指南

    摘要:如果还没有,混合云存储很可能成为企业的默认选择。此外,大多数主要的云存储提供商都在为企业提供指导,将企业的产品与适当的安全和合规控制协调一致,以确保企业不会违反行业法规。如今,混合云的存储量不断增长这并不奇怪。混合云本身是一种越来越流行的部署IT服务的方法。事实上,根据调研机构Gartner预测,到2020年,90%的企业将使用混合基础设施的管理功能。这对企业的数据存储策略意味着什么?首先,...

    chengjianhua 评论0 收藏0
  • 如何在云计算平台使用R语言编程的快速入门指南

    摘要:第二排柱状图显示,云计算的计算量正在逐年增长。如何在云端使用语言编程登陆亚马逊云计算平台的控制界面点击运行实例选择你即将远程访问的虚拟机的操作系统,这里我们选择了亚马逊选择实例类型需要选择内存大小,同时比较不同的价格创建安全密钥。 云计算正逐步成为适用于超出笔记本或台式机处理能力的问题或数据的一种自然延伸。然而,对于完全没有基础的初学者来说,学习使用云计算平台会显得比实际更难。在本文中,我们...

    kamushin233 评论0 收藏0

发表评论

0条评论

godiscoder

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<