【Ubuntu / Centos】簡單設定 = 加固你的服務器

設定你的 root 賬號密碼

維基百科 Ubuntu Security Link

【Ubuntu / Centos】簡單設定 = 加固你的服務器


想知道你的密碼有多安全?可以來這裡看一下

卡巴斯基殺毒軟件 密碼安全性測試

【Ubuntu / Centos】簡單設定 = 加固你的服務器


個人總結 密碼要求

1、長度不低於 16 位
2、多種組合(小寫、大寫、數字)隨機組合
3、可使用密碼生成器
4、定期修改密碼(一般 60 / 90 天以內)便於記憶,可以考慮密碼增加修改的數字次數
R29dXjyLsTsj292T,修改:R29dXjyLsTsj292T1 最後的 1 為第一次修改
5、對於你自己常規性的密碼組合,建議在隨機位置上加入標點符號
R29dXjyLsTsj292T,修改:R@2!9%dXjy&LsTsj29*2T !!! 要在英文輸入法下進行,否則會出錯

【Ubuntu / Centos】簡單設定 = 加固你的服務器


安裝與開啟防火墻 UFW

【Ubuntu / Centos】簡單設定 = 加固你的服務器

apt-get install ufw # 安裝防火墻 ufw
ufw enable # 啟用防火牆

ufw default deny # 禁止默認策略
ufw default allow # 預設允許

ufw allow from x.x.x.0/24 # 允許子網段的機器訪問該主機
ufw allow from 8.8.8.0/24 # 允許 8.8.8.1 ~ 8.8.8.254 網段的所有主機訪問該主機

ufw allow from 192.192.192.1 # 允許這個 IP 訪問該主機的所有端口
ufw deny from 192.192.192.1 # 封鎖 192.192.192.1 的所有連線

ufw allow from 192.192.192.0/24 to any port 22 # 只允許這 IP 段(子網)訪問該主機的 22 端口
ufw allow from 192.192.192.1 to any port 22 # 只允許這個 IP 訪問該主機的 22 端口

ufw status numbered # 以序號查看該防火墻策略
ufw delete X # X = 序號,以序號刪除防火墻策略

ufw allow 80 # 允許所有人訪問該主機的 80 端口
ufw allow 443 # 允許所有人訪問該主機的 443 端口

ufw allow 6000:6007/tcp # 允許 TCP 6000~6007
ufw allow 6000:6007/udp # 允許 UDP 6000~6007

# 備份規則文件
/etc/ufw/.rules 
/lib/ufw/.rules

# 參看所有 rules 的文件
ls /etc/ufw/ *.rules 

# 複製所有 rules 的文件,并將擴展名改為 rules-bak
cp /etc/ufw/ *.rules /etc/ufw/ *.rules-bak  

!!!!!【/ *】(因為代碼問顯示問題,其實它們沒有空格)
  
sudo ufw reload # 重新加載規則文件
 
ufw disable # 停用防火牆
ufw reset # 如果配置混亂,可以重置防火墻,即刪除所有策略

# 批量 Block IP,file.txt 每行一個 ip,你的 ip 越多需要的時間越長
while read line; do sudo ufw deny from $line; done < file.txt

【Ubuntu / Centos】簡單設定 = 加固你的服務器

防火墻策略基本上可以滿足您的大部分需求,自己可以任意 DIY 具體配置請通過搜索引擎搜索
但是在配置之前,一定要留 SSH 端口給自己,要不然就 ……


IPdeny offers country GEO IP address block downloads free of charge.

https://www.ipdeny.com/ipblocks # 官網
【Ubuntu / Centos】簡單設定 = 加固你的服務器

這裡提供全球 IPdeny country block 大概有 25 萬個
如果你想通過 UFW 做全球屏蔽,你的 UFW 是需要很多個小時才能完成匯入
http://ipset.netfilter.org 可以考慮通過 Ipset 工具,實現批量處理


安裝 IpSet 與設定

apt-get -y install ipset

# 创建一个名为 cnip 的规则
ipset -N cnip hash:net

# 下载国家 IP 段,以中國 IP 段為例,請注意你有可能不能返回你的 VPS 服務器
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# 将 IP 段添加到 cnip 规则中
for i in $(cat /root/cn.zone); do ipset -A cnip $i; done

# 开始屏蔽
iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP

# 解除屏蔽 -D 为删除规则
iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP

iptables 命令查看規則

iptables -nL --line-number
紅色,是規則結果
紫色,是匯入的規則 

【Ubuntu / Centos】簡單設定 = 加固你的服務器


保持你的服務器在最新的狀態

【Ubuntu / Centos】簡單設定 = 加固你的服務器

apt update && apt upgrade -y
apt autoremove -y # Ubuntu 自動移除沒有需要的控件或插件 

【Ubuntu / Centos】簡單設定 = 加固你的服務器


保持 sshd_config 的默認設定

sudo vim /etc/ssh/sshd_config
禁止 root 等賬號使用 SSH 登陸該服務器 

【Ubuntu / Centos】簡單設定 = 加固你的服務器

開啟普通賬號使用證書形式登陸,稍後有時間補上這個教程


無下文,完

正文完
文章赞赏 謝謝支持
post-qrcode
 0
Implementer
版权声明:本站原创文章,由 Implementer 于2020-04-16发表,共计2015字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。