相信每位美國(guó)服務(wù)器用戶(hù)都希望能保障服務(wù)器的安全性，今天美聯(lián)科技小編就來(lái)介紹下基本的美國(guó)服務(wù)器 Linux 系統(tǒng)安全知識(shí)，以及強(qiáng)化美國(guó)服務(wù)器Linux系統(tǒng)安全的操作方式。

       1、更新美國(guó)服務(wù)器

       保護(hù)美國(guó)服務(wù)器Linux系統(tǒng)安全的第一件事是更新本地存儲(chǔ)庫(kù)，并通過(guò)應(yīng)用最新的修補(bǔ)程序來(lái)升級(jí)操作系統(tǒng)和已安裝的應(yīng)用程序。

       在 Ubuntu 和 Debian 上的操作：

       sudo apt update && sudo apt upgrade –y

       在 Fedora、CentOS 或 RHEL上的操作：

       sudo dnf upgrade

       2、創(chuàng)建一個(gè)新的特權(quán)用戶(hù)

       美國(guó)服務(wù)器用戶(hù)需要?jiǎng)?chuàng)建一個(gè)新的用戶(hù)帳戶(hù)，不要只是用root 身份登錄美國(guó)服務(wù)器系統(tǒng)，而是創(chuàng)建單獨(dú)的帳戶(hù)，賦予這個(gè)賬號(hào) sudo 權(quán)限，然后使用它登錄美國(guó)服務(wù)器系統(tǒng)。

       1）創(chuàng)建新用戶(hù)操作：

       adduser <username>

       2）通過(guò)將 sudo 組（-G）附加（-a）到用戶(hù)的組成員身份里，從而授予新用戶(hù)帳戶(hù) sudo 權(quán)限：

       usermod -a -G sudo <username>

       3、上傳SSH 密鑰

       美國(guó)服務(wù)器用戶(hù)應(yīng)該使用 SSH 密鑰登錄到美國(guó)服務(wù)器系統(tǒng)，可以使用 ssh-copy-id 命令將預(yù)生成的SSH秘鑰上傳：

       ssh-copy-id <username>@ip_address

       這樣操作之后，美國(guó)服務(wù)器用戶(hù)可以無(wú)需輸入密碼即可登錄到美國(guó)服務(wù)器系統(tǒng)。

       4、安全強(qiáng)化SSH

       接下來(lái)，進(jìn)行以下三個(gè)更改：

       1）禁用 SSH 密碼認(rèn)證

       2）限制 root 遠(yuǎn)程登錄

       3）限制對(duì) IPv4 或 IPv6 的訪問(wèn)

       使用文本編輯器打開(kāi) /etc/ssh/sshd_config 并確保以下行：

       1. PasswordAuthentication yes

       2. PermitRootLogin yes

       改為：

       1. PasswordAuthentication no

       2. PermitRootLogin no

       然后通過(guò)修改 Address Family 選項(xiàng)將 SSH 服務(wù)限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4，需要進(jìn)行以下更改：

       AddressFamily inet

       接著重新啟動(dòng) SSH 服務(wù)以啟用更改。注意，在重新啟動(dòng) SSH 服務(wù)之前，可以與美國(guó)服務(wù)器主機(jī)建立兩個(gè)活動(dòng)連接，有了這些額外的連接，可以在重新啟動(dòng) SSH 服務(wù)出錯(cuò)的情況下修復(fù)所有問(wèn)題。

       在 Ubuntu 上操作：

       sudo service sshd restart

       在 Fedora 或 CentOS 或任何使用 Systemd 的系統(tǒng)上操作：

       sudo systemctl restart sshd

       5、啟用防火墻

       之后美國(guó)服務(wù)器用戶(hù)們需要安裝防火墻、啟用防火墻并對(duì)其進(jìn)行配置，以達(dá)到僅允許指定的網(wǎng)絡(luò)流量通過(guò)的目的。可以通過(guò)以下方式安裝 UFW：

       sudo apt install ufw

       默認(rèn)情況下，UFW 拒絕所有傳入連接，并允許所有傳出連接。這意味著美國(guó)服務(wù)器系統(tǒng)上的任何應(yīng)用程序都可以訪問(wèn)互聯(lián)網(wǎng)，但是任何嘗試訪問(wèn)美國(guó)服務(wù)器系統(tǒng)的內(nèi)容都無(wú)法連接。

       首先，確保可以通過(guò)啟用對(duì) SSH、HTTP 和 HTTPS 的訪問(wèn)來(lái)登錄：

       1）sudo ufw allow ssh

       2）sudo ufw allow http

       3）sudo ufw allow https

       然后啟用 UFW：

       sudo ufw enable

       可以通過(guò)以下方式查看允許和拒絕了哪些服務(wù)：

       sudo ufw status

       如果想禁用 UFW，可以通過(guò)鍵入以下命令來(lái)禁用：

       sudo ufw disable

       6、安裝 Fail2ban

       Fail2ban是一種用于檢查美國(guó)服務(wù)器系統(tǒng)日志以查找重復(fù)或自動(dòng)攻擊的應(yīng)用程序。如果找到任何攻擊，它會(huì)更改防火墻以永久地或在指定的時(shí)間內(nèi)阻止攻擊者的 IP 地址。

       1）通過(guò)鍵入以下命令來(lái)安裝 Fail2ban：

       sudo apt install fail2ban –y

       2）然后復(fù)制隨附的配置文件：

       sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

       3）重啟 Fail2ban：

       sudo service fail2ban restart

       這樣就安裝完成了，該軟件將不斷檢查日志文件以查找攻擊。一段時(shí)間后，該應(yīng)用程序?qū)⒔⑾喈?dāng)多的封禁的 IP 地址列表。可以通過(guò)以下方法查詢(xún) SSH 服務(wù)的當(dāng)前狀態(tài)來(lái)查看此列表：

       sudo fail2ban-client status ssh

       幾乎所有美國(guó)服務(wù)器 Linux系統(tǒng)都啟用了一些面向網(wǎng)絡(luò)的服務(wù)，可以保留其中大多數(shù)，也可以將一些無(wú)用的刪除。可以使用 ss 命令查看所有正在運(yùn)行的網(wǎng)絡(luò)服務(wù)：

       sudo ss –atpu

       刪除未使用的服務(wù)的方式因操作系統(tǒng)及其使用的程序包管理器而不同。在 Debian / Ubuntu 上刪除未使用的服務(wù)操作：

       sudo apt purge <service_name>

       在 Red Hat/CentOS 上刪除未使用的服務(wù)操作：

       sudo yum remove <service_name>

       最后可以再次運(yùn)行 ss -atup 以確認(rèn)這些未使用的服務(wù)沒(méi)有安裝和運(yùn)行。

       以上就是美國(guó)服務(wù)器Linux系統(tǒng)安全強(qiáng)化的操作方式，美國(guó)服務(wù)器用戶(hù)們也根據(jù)服務(wù)器的使用方式啟用其他安全層，這些安全層可以包括諸如各個(gè)應(yīng)用程序配置、入侵檢測(cè)軟件以及啟用訪問(wèn)控制等。

       關(guān)注美聯(lián)科技，了解更多IDC資訊！