【Ubuntu / Centos】簡單設定 = 加固你的服務器

共计 2015 个字符，预计需要花费 6 分钟才能阅读完成。

設定你的 root 賬號密碼

維基百科 Ubuntu Security Link

想知道你的密碼有多安全？可以來這裡看一下

卡巴斯基殺毒軟件 密碼安全性測試

個人總結 密碼要求

1、長度不低於 16 位
2、多種組合（小寫、大寫、數字）隨機組合
3、可使用密碼生成器
4、定期修改密碼（一般 60 / 90 天以內）便於記憶，可以考慮密碼增加修改的數字次數
R29dXjyLsTsj292T，修改：R29dXjyLsTsj292T1 最後的 1 為第一次修改
5、對於你自己常規性的密碼組合，建議在隨機位置上加入標點符號
R29dXjyLsTsj292T，修改：R@2!9%dXjy&LsTsj29*2T !!! 要在英文輸入法下進行，否則會出錯

安裝與開啟防火墻 UFW

apt-get install ufw # 安裝防火墻 ufw
ufw enable # 啟用防火牆

ufw default deny # 禁止默認策略
ufw default allow # 預設允許

ufw allow from x.x.x.0/24 # 允許子網段的機器訪問該主機
ufw allow from 8.8.8.0/24 # 允許 8.8.8.1 ~ 8.8.8.254 網段的所有主機訪問該主機

ufw allow from 192.192.192.1 # 允許這個 IP 訪問該主機的所有端口
ufw deny from 192.192.192.1 # 封鎖 192.192.192.1 的所有連線

ufw allow from 192.192.192.0/24 to any port 22 # 只允許這 IP 段（子網）訪問該主機的 22 端口
ufw allow from 192.192.192.1 to any port 22 # 只允許這個 IP 訪問該主機的 22 端口

ufw status numbered # 以序號查看該防火墻策略
ufw delete X # X = 序號，以序號刪除防火墻策略

ufw allow 80 # 允許所有人訪問該主機的 80 端口
ufw allow 443 # 允許所有人訪問該主機的 443 端口

ufw allow 6000:6007/tcp # 允許 TCP 6000~6007
ufw allow 6000:6007/udp # 允許 UDP 6000~6007

# 備份規則文件
/etc/ufw/.rules 
/lib/ufw/.rules

# 參看所有 rules 的文件
ls /etc/ufw/ *.rules 

# 複製所有 rules 的文件，并將擴展名改為 rules-bak
cp /etc/ufw/ *.rules /etc/ufw/ *.rules-bak  

!!!!!【/ *】(因為代碼問顯示問題，其實它們沒有空格)
  
sudo ufw reload # 重新加載規則文件
 
ufw disable # 停用防火牆
ufw reset # 如果配置混亂，可以重置防火墻，即刪除所有策略

# 批量 Block IP，file.txt 每行一個 ip，你的 ip 越多需要的時間越長
while read line; do sudo ufw deny from $line; done < file.txt

防火墻策略基本上可以滿足您的大部分需求，自己可以任意 DIY 具體配置請通過搜索引擎搜索
但是在配置之前，一定要留 SSH 端口給自己，要不然就 ……

IPdeny offers country GEO IP address block downloads free of charge.

https://www.ipdeny.com/ipblocks # 官網

這裡提供全球 IPdeny country block 大概有 25 萬個
如果你想通過 UFW 做全球屏蔽，你的 UFW 是需要很多個小時才能完成匯入
http://ipset.netfilter.org 可以考慮通過 Ipset 工具，實現批量處理

安裝 IpSet 與設定

apt-get -y install ipset

# 创建一个名为 cnip 的规则
ipset -N cnip hash:net

# 下载国家 IP 段，以中國 IP 段為例，請注意你有可能不能返回你的 VPS 服務器
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# 将 IP 段添加到 cnip 规则中
for i in $(cat /root/cn.zone); do ipset -A cnip $i; done

# 开始屏蔽
iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP

# 解除屏蔽 -D 为删除规则
iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP

iptables 命令查看規則

iptables -nL --line-number
紅色，是規則結果
紫色，是匯入的規則 

保持你的服務器在最新的狀態

apt update && apt upgrade -y
apt autoremove -y # Ubuntu 自動移除沒有需要的控件或插件 

保持 sshd_config 的默認設定

sudo vim /etc/ssh/sshd_config
禁止 root 等賬號使用 SSH 登陸該服務器 

開啟普通賬號使用證書形式登陸，稍後有時間補上這個教程

無下文，完