全新安装的 Ubuntu Server 需要做哪些安全方面的加固?

2015-01-11 12:26:05 +08:00
 RoyShaw
8482 次点击
所在节点    Ubuntu
14 条回复
alansalexer
2015-01-11 12:27:52 +08:00
RoyShaw
2015-01-11 12:42:32 +08:00
如果 ufw 没有 enable 会有哪些安全问题,会有那种能够直接拿 root 权限的漏洞么?
loading
2015-01-11 13:22:50 +08:00
@RoyShaw 如果有公开漏洞,官方一定补……
liangdi
2015-01-11 13:26:58 +08:00
基础的就是
1.设置一下 ssh 登入方式:禁止root登入,禁止密码登录,使用密钥,设置sudo用户
2.设置防火墙,只留必要端口或者白名单ip
3.关闭/卸载不必要的服务
coagent
2015-01-11 17:02:20 +08:00
Fail2ban 加固SSH,配合iptables很好
br00k
2015-01-11 17:29:18 +08:00
这个我也需要,关注一下。
onemoo
2015-01-11 17:40:28 +08:00
和其他发行版没区别吧
主要是设置好ssh、防火墙iptables,注意更新安全补丁。如果可以的话,启用SELinux。
msg7086
2015-01-11 19:16:00 +08:00
*一般*来说,禁止root密码登录+fail2ban可以解决99.9%的攻击。
lenmore
2015-01-11 23:42:43 +08:00
还可以:
1. 禁ping, https://help.ubuntu.com/community/UFW#Allow_Access
2. 改ssh端口

这可以避免很多探测器的骚扰
ryd994
2015-01-12 02:46:29 +08:00
禁root这什么心态……
用公钥然后禁密码才是正道
端口肯定要改,不然安全日志一天到晚刷,真出了什么事就查不到该查的了
xiaoks
2015-01-12 10:08:27 +08:00
本人就是做网络安全方面的工作,以一个攻击者的角度,给你点建议:
1、在端口方面做文章其实没什么用。
2、限制root用户也没什么用。
3、你要做的是关注你的口令是否复杂,别很容易被人猜到。
4、做好web权限的分离,web别被人攻破。如果权限做的好,也就是把你数据库拖了、代码下载了。现在危害也不是非常高。(如果说我的目的拿你的数据库,这时我的目的已经达到了。)
5、如果说web层你没有信心防护好,那就要勤打linux的补丁,防止被攻陷了web后再被拿到root权限。(我一般不会去费尽心机搞root,拿到了root对我来说用处也不大。)
Admstor
2015-01-12 12:24:30 +08:00
@xiaoks 说的很对
基本上要你的权限是为了用你的资源或者数据资料
数据库这里不多说了,水很深,而且我也不太懂,毕竟我是做SA运维,基本的权限分离,读写分离是一定要有的
然后禁不禁root没什么意思,只是给自己添加麻烦,因为入侵重点不是这里
改端口,密码复杂,使用key文件,这些都是提高暴力破解难度,改端口主要是为了查找方便,不然一堆扫描器产生的日志会掩盖特定的入侵
复杂的密码和key文件目的都是一致,虽然你key文件的暴力破解几乎不可能,但是依然存在泄露的可能,所以经常更换口令才是王道

web入侵是比较常见的,这取决于程序员的水平
如果运行的代码自己不可控(例如是别人的程序)
那么一定要慎重选择,经常更新
xiaoks
2015-01-12 14:27:18 +08:00
@Admstor

我对SA运维不熟悉。但是有一点我可以肯定。读写分离应该与服务器性能有关,和安全没什么关系。。。。
uJohnny
2015-01-12 19:54:18 +08:00
1.改SSH登陆端口
2.生成SSH证书, 禁用密码登陆
3.设置iptable
3.安装fail2ban

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/161074

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX