帮助中心

立即注册 咨询客服

当前位置:首页 > 帮助中心 > 提升CentOS 8/RHEL 8服务器系统安全性的7个技巧

提升CentOS 8/RHEL 8服务器系统安全性的7个技巧

发布时间:2020/8/4 9:48:07    来源: A5互联

当您的服务器安装CentOS 8/RHEL 8系统后,保护它防止未经授权的访问和入侵是首要任务。俗话说,“预防胜于治疗”,因此,对服务器的安全部署比采取补救措施更有效。

1、设置防火墙

作为具有安全意识的Linux用户,出于安全原因,您不会只允许任何流量进入CentOS 8 / RHEL 8系统。实际上,设置防火墙是系统管理员仅打开特定端口并允许当前使用的服务时需要执行的初始服务器设置任务之一。

默认情况下,CentsO8 / RHEL 8系统附带防火墙的防火墙,可通过运行以下命令来启动和启用该防火墙:

sudo systemctl start firewalld

sudo systemctl enable firewalld

要检查防火墙上允许的服务,只需运行以下命令:

sudo firewall-cmd --list all

要打开防火墙上的端口(例如端口443),请执行以下命令:

sudo firewall-cmd --add-port=443/tcp --zone=public --permanent

要允许服务,例如ssh,请使用以下命令:

sudo firewall-cmd --add-service=ssh  --zone=public --permanent

要删除端口和服务,请分别使用–remove-port 和–remove-service属性。

为了使更改生效,请始终如图所示重新加载防火墙。

sudo firewall-cmd --reload

2、禁用未使用/不必要的服务

始终建议您关闭服务器上未使用或不必要的服务。这是因为运行的服务数量越多,系统上打开的端口数量就越多,攻击者可以利用这些端口获得进入系统的权限。此外,不要使用像telnet这样的旧的不安全的服务,该服务以纯文本格式发送流量

最佳安全实践建议禁用未使用的服务,并摆脱系统上运行的所有不安全服务。您可以使用nmap工具扫描系统并检查哪些端口已打开并正在监听。

3、保护重要文件

锁定关键文件以防止意外删除或编辑是至关重要的。这样的文件包括/etc/passwd和/etc/gshadow,其中包含哈希密码。要使文件不可变(即防止修改或意外删除),请使用chattr命令,如下所示:

sudo chattr +i /etc/passwd

sudo chattr +i /etc/shadow

这样可确保黑客无法更改任何用户密码或将其删除,从而导致拒绝登录系统。

4、安全的SSH协议

SSH协议是用于远程登录的流行协议。默认情况下,该协议具有可被黑客利用的本地漏洞。

默认情况下,SSH允许root用户进行远程登录。这是一个潜在的安全威胁,如果黑客可以获取root密码到您的系统,则您的服务器将受到很大的控制。为了防止这种情况,建议拒绝远程root登录,而创建具有sudo特权的登录普通用户。您可以通过修改SSH配置文件/ etc / ssh / sshd_config并禁用root登录来实现此目的,如下所示:

PermitRootLogin

确保SSH安全的另一种方法是通过使用ssh密钥设置SSH无密码身份验证。首选使用SSH密钥,而不是使用容易受到暴力攻击的密码身份验证,因为它们仅允许使用ssh密钥输入的用户登录到远程服务器并阻止任何其他用户。启用无密码认证的第一步是使用以下命令生成密钥对:

ssh-keygen

这将生成一个公钥和私钥对。专用密钥位于主机上,而公用密钥则复制到远程系统或服务器上。复制ssh-key对后,您可以轻松登录到远程系统而无需提示输入密码。接下来,通过修改/etc/ssh/sshd_config配置文件并设置以下值来禁用密码认证:

PasswordAuthentication no

进行更改后,请确保重新启动SSH服务以使更改生效。

sudo systemctl restart sshd

5、定义密码尝试的限制

为了进一步强化服务器,您可以考虑限制通过SSH登录时尝试输入密码的次数,以阻止暴力攻击。再次,转到SSH配置文件,滚动并找到“ MaxAuthTries ”参数。取消注释它并设置一个值,例如3,如图所示。

MaxAuthTries 3

这意味着在尝试3次错误的密码后,会话将关闭。这在派上用场,特别是当您要阻止试图访问系统的机械手脚本/程序时。

6、建立入侵防御系统(IPS)

到目前为止,我们已经介绍了可以用来强化CentOS 8 / RHEL 8服务器的基本步骤。要添加另一层,建议您安装入侵检测系统。IPS的完美示例是Fail2ban。

Fail2ban是一个免费的开放源代码入侵防御系统,通过在配置文件中指定了一定次数的登录尝试后,通过禁止IP地址来保护服务器免受暴力攻击。一旦被阻止,恶意或未经授权的用户甚至无法启动SSH登录尝试。

7、定期更新您的服务器

如果不强调定期更新服务器的重要性,本文将是不完整的。这样可以确保您的服务器获得最新功能和安全更新,这对于解决现有安全问题至关重要。

您可以使用cockpit实用工具设置自动更新,该工具是基于GUI的服务器管理工具,还可以执行许多其他任务。这是理想的选择,特别是如果您打算长时间访问或假期而无法访问服务器时。