目录
一、提高linux服务器安全性的原因
当服务器部署到公网时,需要做好相应的防护措施,来提升服务器安全性,这样做的原因如下:
1、数据保护
敏感信息:服务器上可能存储有大量的敏感数据,如用户信息、财务数据、知识产权等。一旦这些数据被泄露或被恶意篡改,将对组织和个人造成严重后果。
备份数据:保护服务器也保护了备份数据的安全,确保在灾难恢复时数据仍然可用和可信。
2、业务连续性
服务可用性:提高安全性有助于防止未经授权的访问和恶意攻击,从而确保关键服务(如网站、数据库、应用服务器等)的连续性和可靠性。
减少停机时间:通过增强安全性,可以减少因攻击导致的系统停机时间,从而维护业务运营的连续性。
3、防止恶意软件
病毒和蠕虫:服务器若未得到妥善保护,容易成为病毒和蠕虫的传播源,影响整个网络的安全。
勒索软件:提高安全性可以防止勒索软件的攻击,避免数据被加密并导致业务中断。
4、防止内部威胁
误操作:通过实施访问控制和权限管理,可以防止内部人员因误操作而破坏数据或系统。
恶意行为:通过监控和审计,可以及时发现并处理内部人员的恶意行为。
5、应对新威胁
零日漏洞:新的安全漏洞不断出现,提高服务器的安全性可以确保及时应对这些新威胁。
进化攻击:攻击手段和技术在不断进化,提高安全性可以确保系统能够抵御这些进化中的攻击。
二、具体操作
1、禁止ssh的root远程访问
vim /etc/ssh/sshd_config
将PermitRootLogin一行的注释取消(如果被注释的话),再将yes改为no,表示root用户将无法通过SSH远程访问该服务器。
systemctl restart sshd
重启ssh服务以应用更改。
如果要远程访问该机器,则可以通过useradd命令创建一个新用户,先使用新用户的身份登录到服务器,再通过su命令,切换到root用户。
2、修改root访问密码
在有root权限的情况下,在命令行输入passwd,即可修改root密码
3、修改ssh访问端口
ssh默认的端口是22,如果服务器部署在公网中时,应尽量将此默认端口替换,减少被攻击的概率。
vim /etc/ssh/sshd_config
找到Port一行,取消注释并修改。
systemctl restart sshd
重启ssh服务以应用更改。
4、修改数据库默认端口
以mysql数据库为例,找到服务器中的my.cnf文件,修改port行,如下图所示,将数据库的端口修改为了3307
重启mysql服务
systemctl restart mysql
远程访问时,则需要通过相应的-P 3307参数,才可以正常访问该服务器的mysql
5、禁止数据库root远程访问
mysql -uroot -p 登录数据库
update user set host = "127.0.0.1" where user = "root" and host = "%";
flush privileges;
SELECT user, host FROM mysql.user;
查看修改以后的数据库表,root用户只能通过本地登录。
6、修改防火墙策略
Centos的防火墙可以配置为允许或拒绝特定类型的网络流量,避免开放不必要的端口,增加安全风险。
打开防火墙:systemctl start firewalld
开放需要使用的端口
firewall-cmd --zone=public --add-port=<port>/<tcp/udp> --permanent
使修改的规则生效:firewall-cmd --reload
三、其他提高安全性的建议
1、使用最新的操作系统和补丁
确保系统及时更新,修复已知的安全漏洞。
2、实施强密码策略
使用复杂且定期更换的密码,减少暴力破解的风险。
3、限制访问
通过防火墙和访问控制列表(ACL)限制对服务器的访问。
4、使用安全的协议和服务
禁用不必要的服务,使用加密协议(如SSH、HTTPS)进行通信。
5、定期备份数据
确保数据在遭受攻击或系统故障时能够恢复。
6、监控和日志记录
实施监控和日志记录,及时发现并响应异常行为。
7、定期进行安全审计
检查系统的配置和日志,查找潜在的安全问题。
文章正下方可以看到我的联系方式:鼠标“点击” 下面的 “威迪斯特-就是video system 微信名片”字样,就会出现我的二维码,欢迎沟通探讨。