好不容易购置的服务器,要是因一时疏忽被黑客攻破,那损失可就大了!
本文将分享一系列简易操作,助你大幅提升服务器的安全系数。这些配置都是我亲身实践过的,或许过程稍显繁琐,但能换来内心的踏实。
优化 SSH 远程登录设置
首先,开启 SSH 配置文件:
vim /etc/ssh/sshd_config
然后,对以下几个关键参数进行调整:
Port 10000 # 修改 SSH 默认端口,建议设置为 10000 以上,降低被端口扫描器发现的概率。请务必在防火墙中开放所设端口,阿里云等云服务器用户还需在控制台配置安全组规则,否则可能无法正常连接。如果觉得修改端口比较麻烦,也可以选择保留默认设置。 Protocol 2 # 强制使用 SSH 协议版本 2,禁用存在安全漏洞的协议版本 1,避免密码被轻易破解。 PermitRootLogin no # 强烈建议禁止 root 用户直接登录。启用此项后,需先以普通用户身份登录,再通过 su 命令切换至 root 用户。注意 su 和 su - 命令略有差异,主要在于环境变量的继承范围,su - 能提供更全面的 root 用户环境变量。 PermitEmptyPasswords no # 坚决禁止空密码用户登录,防止恶意用户利用弱口令漏洞入侵。
完成上述修改后,重启 SSH 服务使配置生效:
service sshd restart
屏蔽 Ping 请求
执行以下命令,阻止服务器响应来自外部或内部网络的 Ping 请求:
echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all
该参数默认值为 0,表示允许响应 Ping 请求。
强化用户管理
掌握以下 Linux 用户管理常用命令:
查看用户列表:cat /etc/passwd 查看组列表:cat /etc/group 查看当前登录用户:who 查看用户登录历史记录:last
建议移除系统中不必要的默认用户和用户组,降低潜在的攻击面:
userdel sync userdel shutdown # 需要删除的多余用户共有:sync shutdown halt uucp operator games gopher groupdel adm groupdel games # 需要删除的多余用户组共有:adm lp games dip
Linux 系统中的用户账户和密码信息存储在 /etc/passwd、/etc/shadow、/etc/group 和 /etc/gshadow 这四个文件中,务必提高这些文件的权限,防止未授权访问和篡改:
chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow
若要恢复默认设置,将 +i 替换为 -i,然后重新执行上述四条命令。
注意: i 属性表示文件不可被修改、删除、重命名,也无法创建链接或添加数据。只有 root 用户才能设置此属性。
创建新用户并配置 sudo 权限
创建新用户:
adduser username
设置用户密码:
passwd username
普通用户通常只在自己的 home 目录下拥有完整权限,其他目录的权限取决于授权情况。为了方便执行需要 root 权限的操作,可以为用户配置 sudo 权限。曾经遇到过使用 sudo 创建文件后,自己反而没有读写权限的情况,原因就是该文件是由 root 用户创建的。
sudoers 文件默认是只读的,要修改它,需要先添加写权限:
chmod -v u+w /etc/sudoers
然后,在文件中添加新用户的配置信息。在 root 用户配置的下一行添加类似如下内容:
username ALL=(ALL) ALL
保存退出后,务必撤销 sudoers 文件的写权限:
chmod -v u-w /etc/sudoers
赋予用户 Root 权限的三种方法
- 方法一: 修改 /etc/sudoers 文件,找到以下行,移除前面的注释符号 (#):
## Allows people in group wheel to run all commands
# 去掉下面一句的前面的注释 #
%wheel ALL=(ALL) ALL
# 然后修改用户,使其属于 root 组 (wheel),命令如下:
# usermod -g root uusama
修改完毕后,使用 uusama 账户登录,然后执行
su -命令,即可切换到 root 用户进行操作。
- 方法二 (推荐): 修改 /etc/sudoers 文件,找到以下行,在 root 用户配置的下面添加一行,如下所示:
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
uusama ALL=(ALL) ALL
修改完毕后,使用 uusama 账户登录,然后执行
sudo -s命令,即可获得 root 权限进行操作。
- 方法三: 修改 /etc/passwd 文件,找到类似如下的行,将用户 ID 修改为 0:
uusama:x:500:500:tommy:/home/uusama:/bin/bash
# 修改后如下
uusama:x:0:500:tommy:/home/uusama:/bin/bash
保存后,使用 uusama 账户登录,即可直接获得 root 账户的权限。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************