美國Linux服務(wù)器系統(tǒng)的安全可以說是所有用戶所看重的，本文小編就來講下加固美國Linux服務(wù)器系統(tǒng)安全的基礎(chǔ)，以達(dá)到強(qiáng)化美國Linux服務(wù)器系統(tǒng)安全性的效果。

1、及時(shí)升級(jí)系統(tǒng)

保持美國Linux服務(wù)器軟件的最新狀態(tài)，是可以在任何操作系統(tǒng)上采取的安全預(yù)防措施，軟件系統(tǒng)更新的范圍從關(guān)鍵漏洞補(bǔ)丁到小bug的修復(fù)。

2、添加一個(gè)受限用戶賬戶

建議創(chuàng)建一個(gè)受限的美國Linux服務(wù)器用戶帳戶，而管理任務(wù)交由sudo來完成，它可以臨時(shí)提升受限用戶的權(quán)限，以便管理美國Linux服務(wù)器。

3、加固SSH訪問

默認(rèn)情況下，密碼認(rèn)證用于通過SSH連接到美國Linux服務(wù)器，加密密鑰對(duì)更加安全，因?yàn)樗盟借€代替了密碼，這通常更難以暴力破解。

4、SSH守護(hù)進(jìn)程選項(xiàng)

1）不允許root用戶通過SSH登錄

這要求所有的SSH連接都是通過非root用戶進(jìn)行。當(dāng)以受限用戶帳戶連接后，可以通過使用sudo或使用su-切換為rootshell來使用管理員權(quán)限。

2）禁用SSH密碼認(rèn)證

這要求所有通過SSH連接的用戶使用密鑰認(rèn)證。如果從不同的美國Linux服務(wù)器連接到目標(biāo)主機(jī)，可能想要繼續(xù)啟用密碼驗(yàn)證。這將允許使用密碼進(jìn)行身份驗(yàn)證，而不是為每個(gè)設(shè)備生成和上傳密鑰對(duì)。

3）只監(jiān)聽一個(gè)互聯(lián)網(wǎng)協(xié)議

在默認(rèn)情況下，SSH守護(hù)進(jìn)程同時(shí)監(jiān)聽IPv4和IPv6上的傳入連接。除非需要使用這兩種協(xié)議進(jìn)入美國Linux服務(wù)器，否則就禁用不需要的。這不會(huì)禁用系統(tǒng)范圍的協(xié)議，它只用于SSH守護(hù)進(jìn)程。

5、使用Fail2Ban保護(hù)SSH登錄

Fail2Ban是一個(gè)應(yīng)用程序，它會(huì)在多次嘗試登錄失敗后，禁止該IP地址登錄到主機(jī)。由于合法登錄通常不會(huì)超過三次嘗試，因此如果美國Linux服務(wù)器的多次登錄失敗的請(qǐng)求那就意味著有惡意訪問。

Fail2Ban可以監(jiān)視各種協(xié)議，包括SSH、HTTP和SMTP。默認(rèn)情況下，F(xiàn)ail2Ban僅監(jiān)視SSH，并且因?yàn)镾SH守護(hù)程序通常配置為持續(xù)運(yùn)行并監(jiān)聽來自任何遠(yuǎn)程IP地址的連接。

6、刪除未使用的面向網(wǎng)絡(luò)的服務(wù)

大多數(shù)Linux發(fā)行版都安裝并運(yùn)行了網(wǎng)絡(luò)服務(wù)，監(jiān)聽來自互聯(lián)網(wǎng)、回環(huán)接口或兩者兼有的傳入連接。將不需要的面向網(wǎng)絡(luò)的服務(wù)從系統(tǒng)中刪除，以減少對(duì)運(yùn)行進(jìn)程和對(duì)已安裝軟件包攻擊的概率。

7、查明該移除的服務(wù)

如果在沒有啟用防火墻的情況下對(duì)美國Linux服務(wù)器進(jìn)行基本的TCP和UDP的nmap掃描，那么在打開端口的結(jié)果中將出現(xiàn)SSH、RPC和NTPdate。通過配置防火墻，可以過濾掉這些端口，但SSH除外，因?yàn)樗仨氃试S傳入連接。而理想狀態(tài)下，應(yīng)該禁用未使用的服務(wù)。

1）大部分可能主要通過SSH連接管理美國Linux服務(wù)器，所以讓這個(gè)服務(wù)需要保留。如上所述，RSA密鑰和Fail2Ban可以幫助用戶保護(hù)SSH。

2）NTP是服務(wù)器計(jì)時(shí)所必需的法。

3）Exim和RPC是不必要的，除非有特定的用途，否則應(yīng)該刪除它們。

8、配置防火墻

使用防火墻阻止不需要的入站流量，能為美國Linux服務(wù)器提供一個(gè)高效的安全層。通過指定入站流量，可以阻止入侵和網(wǎng)絡(luò)測繪。最佳做法是只允許需要的流量，并拒絕一切其他流量。

以上就是加固美國Linux服務(wù)器系統(tǒng)安全的最基本步驟，但是進(jìn)一步的安全層將取決于其預(yù)期用途，同時(shí)還有其他技術(shù)可以操作，包括應(yīng)用程序配置，如使用入侵檢測或者安裝某個(gè)反問控制等。