很少見有人馬上為一臺新安裝的服務(wù)器做安全措施，然而我們生活所在的這個社會使得這件事情是必要的。不過為什么仍舊這么多人把它拖在最后？我也做過相同的事，這通?？梢詺w結(jié)為我們想要馬上去折騰那些有趣的東西。希望這篇文章將向大家展示，確保服務(wù)器安全沒有你想得那樣難。在攻擊開始后，俯瞰你的“堡壘”，也相當享受。

這篇文章為 Ubuntu 12.04.2 LTS 而寫，你也可以在任何其他 Linux 分發(fā)版上做相同的事情。

我從哪兒開始？
如果服務(wù)器已經(jīng)有了一個公有IP，你會希望立即鎖定 root 訪問。事實上，你得鎖定整個ssh訪問，并確保只有你可以訪問。增加一個新用戶，把它加入admin組（在/etc/sudoers預(yù)配置以擁有sudo訪問權(quán)限）。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
$ sudo addgroup admin
Adding group 'admin' (GID 1001)
Done.
 
$ sudo adduser spenserj
Adding user `spenserj' ...
Adding new group `spenserj' (1002) ...
Adding new user `spenserj' (1001) with group `spenserj' ...
Creating home directory `/home/spenserj' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for spenserj
Enter the new value, or press ENTER for the default
    Full Name []: Spenser Jones
    Room Number []:
    Work Phone []:
    Home Phone []:
    Other []:
Is the information correct? [Y/n] y
 
$ sudo usermod -a -G admin spenserj
你也將希望在你電腦上創(chuàng)建一個私有key，并且在服務(wù)器上禁用討厭的密碼驗證。

1
2
$ mkdir ~/.ssh
$ echo "ssh-rsa [your public key]" > ~/.ssh/authorized_keys
/etc/ssh/sshd_config

1
2
3
4
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication no
AllowUsers spenserj
重新加載SSH，使用修改生效，之后嘗試在一個新會話中登陸來確保所有事情正常工作。如果你不能登陸，你將仍然擁有你的原始會話來做修改。

1
2
3
$ sudo service ssh restart
ssh stop/waiting
ssh start/running, process 1599