創(chuàng)建 Linux? 云服務(wù)器后的第一步是為其設(shè)置安全性。您應(yīng)該在每臺服務(wù)器上執(zhí)行此關(guān)鍵步驟，以防止不良行為者獲得不需要的訪問權(quán)限。此操作會產(chǎn)生一個更安全的環(huán)境，有助于防止您和您的企業(yè)受到損害。執(zhí)行這些基本步驟并加強服務(wù)器上的安全性可以阻止不良行為者，并使他們轉(zhuǎn)向新目標(biāo)。

用戶管理

默認(rèn)情況下，root 用戶被創(chuàng)建為每個 Linux 系統(tǒng)上的第一個用戶。您應(yīng)該通過 Secure Shell (SSH) 禁用它。通過 SSH 禁用此 root 用戶會使不良行為者更難訪問系統(tǒng)。因為 root 用戶是在每臺 Linux 服務(wù)器上默認(rèn)創(chuàng)建的，所以如果 root 用戶通過 SSH 啟用，不良行為者已經(jīng)擁有登錄到您的服務(wù)器所需的一半信息。這種情況允許暴力破解 SSH 攻擊，直到密碼散列中斷。

為避免這種情況，您應(yīng)該在需要登錄和管理系統(tǒng)時創(chuàng)建輔助用戶。系統(tǒng)上的每個最終用戶都應(yīng)該有自己的登錄憑據(jù)以用于記錄目的。根據(jù)最終用戶需要執(zhí)行的操作，他們可能需要sudo權(quán)限才能完成管理操作。本節(jié)提供有關(guān)如何在基于 Debian? 和 Red Hat? Enterprise Linux 的系統(tǒng)上添加具有 sudo 權(quán)限的用戶的示例。

密碼強度準(zhǔn)則

在創(chuàng)建任何用戶之前，請確保使用需要最小字符長度（甚至可能包括到期日期）的強密碼。以下是軟件系統(tǒng)安全支持者提倡的共同準(zhǔn)則：

• 如果允許，請使用 12 到 14 個字符的最小密碼長度。
• 如果允許，包括小寫和大寫字母、數(shù)字和符號。
• 在可行的情況下隨機生成密碼。
• 避免對多個用戶、帳戶或軟件系統(tǒng)使用相同的密碼。
• 避免字符重復(fù)、鍵盤模式、字典單詞、字母或數(shù)字序列、用戶名、親戚或?qū)櫸锩⒗寺溄樱ó?dāng)前或過去）或個人信息（例如，身份證號、祖先的姓名或日期）。
• 避免使用已公開或可能公開與用戶或帳戶關(guān)??聯(lián)的信息。
• 避免使用用戶的同事或熟人可能知道與用戶相關(guān)的信息。
• 不要使用由弱組件組成的密碼。

添加用戶（Debian 和 Ubuntu 操作系統(tǒng)）

對于 Debian 和 Ubuntu? 操作系統(tǒng)，請按照以下步驟添加用戶：

1. 創(chuàng)建一個新用戶并設(shè)置他們的密碼：

   useradd {用戶名} passwd {用戶名}

2. 授予新用戶sudo對系統(tǒng)特權(quán)操作的權(quán)限。此用戶是遠(yuǎn)程登錄和更改服務(wù)器的主要用戶。

   使用以下方法之一sudo為用戶實現(xiàn)權(quán)限。

   一個。運行以下命令將用戶添加到admin用戶組。

   usermod -aG admin {username}
   

   或者，您可以修改sudoers文件以授予用戶sudo權(quán)限。

   一個。以 root 身份運行以下命令以編輯用戶權(quán)限列表：

   visudo
   

   注意：在某些發(fā)行版中，系統(tǒng)將vi文本編輯器用于?visudo.?因為vi它不是一個用戶友好的編輯器，您可能需要參考vi 教程來尋求幫助。

   灣。在包含的行之后直接添加以下行root ALL=(ALL:ALL) ALL：

   {username}     ALL=(ALL:ALL) ALL
   

   C。保存并退出。

3. 切換到新用戶并通過使用sudo運行需要root訪問權(quán)限的命令來測試他們的權(quán)限，例如以下命令：

   su {username}
   sudo systemctl status sshd
   

   在執(zhí)行命令之前，系統(tǒng)會提示您輸入新用戶的密碼以進(jìn)行驗證。

4. root您還可以通過運行以下命令來驗證您的用戶是否可以提升到該帳戶：

    sudo -i
   

如果您正確執(zhí)行這些步驟，您的用戶現(xiàn)在可以sudo訪問并且可以提升權(quán)限。如果沒有正確執(zhí)行，當(dāng)您嘗試進(jìn)行身份驗證時，您會收到一條消息，指出用戶不在sudoers文件中。

添加用戶（Red Hat 和 CentOS）

對于 Red Hat 和 CentOS? 操作系統(tǒng)，請按照以下步驟添加用戶：

1. 使用以下命令創(chuàng)建新用戶adduser并設(shè)置用戶密碼passwd：

   useradd {username}
   passwd {username}
   

2. 授予新用戶sudo對系統(tǒng)特權(quán)操作的權(quán)限。此用戶是遠(yuǎn)程登錄和更改服務(wù)器的主要用戶。

   使用以下方法之一sudo為用戶實現(xiàn)權(quán)限。

   一個。運行以下命令將用戶添加到wheel組

   usermod -aG wheel {username}
   

   或者，您可以修改sudoers文件以授予用戶sudo權(quán)限。

   一個。運行以下命令：

   visudo
   

   注意：在某些發(fā)行版上，系統(tǒng)使用的文本編輯器?visudo是vi.?因為vi它不是一個用戶友好的編輯器，您可能需要參考vi 教程來尋求幫助。

   灣。在包含的行之后直接添加以下行?root ALL=(ALL:ALL) ALL：

   {username}     ALL=(ALL)       ALL
   

   C。保存并退出。

3. 切換到新用戶并使用sudo運行需要 root 訪問權(quán)限的命令來測試他們的權(quán)限：

   su {username}
   sudo systemctl status sshd
   

   在執(zhí)行命令之前，系統(tǒng)會提示您輸入新用戶的密碼以進(jìn)行驗證。

4. root您還可以通過運行以下命令來驗證您的用戶是否可以提升到該帳戶：

    sudo -i
   

如果您正確執(zhí)行了這些步驟，您的用戶現(xiàn)在可以sudo訪問并且可以提升權(quán)限。如果沒有正確執(zhí)行，當(dāng)您嘗試進(jìn)行身份驗證時，您會收到一條消息，指出用戶不在sudoers文件中。

生成 SSH 密鑰對

對于比使用密碼更安全的登錄方法，請創(chuàng)建一個 SSH 密鑰對以與您之前創(chuàng)建的用戶一起使用。這些說明適用于任何 Linux 發(fā)行版。

注意：這些說明適用于 Linux 和 macOS? 桌面。如果您從 Windows? 桌面連接，請按照?使用 SSH PUTTYgen 生成 RSA 密鑰?和?在 Windows 上使用 SSH 私鑰登錄中的說明 生成和添加 SSH 密鑰對。

1. 運行以下命令在本地Linux 或 Mac? 計算機上生成密鑰對：

   ssh-keygen -b 4096 -t rsa
   

   當(dāng)詢問將密鑰保存在哪里時，請使用默認(rèn)位置。添加密碼是可選的并且更安全，但可能不方便。

   此操作創(chuàng)建兩個文件。默認(rèn)名稱id_rsa用于您的私鑰和id_rsa.pub公鑰。

2. 在本地計算機上創(chuàng)建密鑰對后，將公鑰上傳到您之前創(chuàng)建的用戶的遠(yuǎn)程服務(wù)器。

   警告：請務(wù)必上傳公鑰，而不是私鑰。

   ssh-copy-id -i ~/.ssh/id_rsa.pub {username}@{remotePublicIPAddress}
   

3. 使用?ssh {username}@{remotePublicIPAddress}并運行以下命令連接到遠(yuǎn)程服務(wù)器，以驗證沒有添加您不期望的額外密鑰：

   cat .ssh/authorized_keys
   

至此，您已經(jīng)ssh-key為用戶添加了密碼驗證。下一節(jié)將介紹有關(guān)如何禁用密碼身份驗證的可選步驟。

Linux SSH 守護進(jìn)程配置

現(xiàn)在您有了一個具有sudo權(quán)限的新用戶和一個 SSH 密鑰對，您可以使用 SSH 守護程序（服務(wù)器）配置來提高安全性。

注意：?僅適用于托管操作和 RackConnect 客戶：為確保我們的自動化系統(tǒng)在需要時可以訪問您的服務(wù)器，我們要求您不要更改 SSH 配置并跳到下一部分。當(dāng)連接到您的服務(wù)器時，Rackspace 支持團隊以用戶rack身份登錄并在端口 22 上使用密碼驗證。此外，重建現(xiàn)有服務(wù)器或從快照構(gòu)建新服務(wù)器需要您通過將PermitRootLogin選項設(shè)置為來啟用 root 登錄yes。如果您需要更改這些值，請與您的 Rackspace 支持團隊成員交談，以便以不影響我們?yōu)槟峁?Fanatical Experience? 的能力的方式進(jìn)行更改。

本文其余部分的示例命令假定您以新用戶身份登錄，sudo用于執(zhí)行特權(quán)操作。

SSH 配置選項

本節(jié)介紹 SSH 配置文件中有助于提高安全性的常用選項。此信息用于稍后配置您的防火墻。本節(jié)僅概述了幾個要更改的選項并描述了它們的作用。

本節(jié)重點介紹以下選項：

• Port XX：此選項是 SSH 守護程序偵聽的端口（默認(rèn)為 22 端口）。
• PermitRootLogin：此標(biāo)志啟用（是）或禁用（否）通過 SSH 的 root 登錄。默認(rèn)情況下，此行被注釋并允許 root 登錄。
• PubkeyAuthentication：此標(biāo)志啟用（是）或禁用（否）用于身份驗證的 SSH 密鑰。默認(rèn)情況下，此行被注釋并允許?ssh-key?訪問。
• PasswordAuthentication：此標(biāo)志啟用（是）或禁用（否）密碼驗證。默認(rèn)情況下，啟用此選項。

SSH 默認(rèn)使用端口 22 進(jìn)行通信。root不良行為者在他們攻擊的每臺服務(wù)器上使用用戶名嘗試端口 22 。因此，通過 SSH 禁用 root 用戶并將 SSH 更改為偵聽非標(biāo)準(zhǔn)端口有助于防止違規(guī)。

更改端口不會阻止確定的入侵者，但它確實會導(dǎo)致大多數(shù) SSH 連接機會的表面掃描忽略您的服務(wù)器。同樣，刪除 root 用戶的 SSH 訪問權(quán)限會干擾通過 SSH 進(jìn)行的隨意暴力攻擊。

您還應(yīng)該考慮在登錄時使用哪種身份驗證方法。默認(rèn)情況下，所有 Linux 系統(tǒng)都使用密碼身份驗證。存在多種在服務(wù)器上執(zhí)行身份驗證的方法，但主要的兩種方法是使用密碼和 SSH 密鑰。

SSH 密鑰是成對生成的，一個是公共的，另一個是私有的，您只能將它們組合使用。您應(yīng)該將私鑰存儲在您連接的計算機上的安全位置，并且永遠(yuǎn)不要將其泄露。您可以提供公鑰，它是您放置在要連接的服務(wù)器上的密鑰。當(dāng)您建立連接時，本地計算機上的私鑰通過算法運行，如果密鑰對哈希與公鑰匹配，則授予訪問權(quán)限。

修改 sshd_config

至此，您已經(jīng)添加了一個具有sudo權(quán)限的新用戶，創(chuàng)建了一個 SSH 密鑰對，并上傳了您的公共 SSH 密鑰。您現(xiàn)在可以更改 SSH 配置文件以提高安全性。為此，您可以使用以下步驟將 SSH 更改為偵聽自定義端口、限制通過 SSH 的 root 登錄、啟用公鑰身份驗證和禁用密碼身份驗證：

1. 打開 SSH 守護程序配置文件進(jìn)行編輯：

   sudo vim /etc/ssh/sshd_config
   

2. 更改以下行：

   注意：默認(rèn)情況下，Port和PermitRootLogin行被注釋掉，如#符號所示。注釋掉時，這些行將作為默認(rèn)選項讀取，即使對行進(jìn)行了更改。要實現(xiàn)這些更改，您需要通過刪除關(guān)聯(lián)行#開頭的符號來取消注釋關(guān)聯(lián)行。此外，在禁用之前PasswordAuthentication，請確保您已配置 SSH 密鑰，否則您將無法連接到服務(wù)器。

   改變：

   #Port 22
   #PermitRootLogin yes
   PasswordAuthentication yes     
   

   至：

   Port 2222
   PermitRootLogin no
   PasswordAuthentication no
   

   將2222替換為您要使用的端口。使用netstat確保新端口尚未被其他程序使用。

   重要提示：如前所述，?sshd_config如果您的服務(wù)器具有托管操作服務(wù)級別，則不應(yīng)對文件進(jìn)行此更改。這些更改可能會拒絕 Rackspace 訪問您的服務(wù)器。

3. 通過運行以下命令來測試更改后的 SSH 配置是否存在錯誤：

   sshd -t
   

如果您沒有收到錯誤，則 SSH 現(xiàn)在已配置為在自定義端口上運行，并且僅接受傳遞有效 SSH 密鑰的非 root 用戶。要應(yīng)用和保留這些設(shè)置，您必須重新啟動 SSH 服務(wù)。但是，請不要重新啟動服務(wù)。現(xiàn)在重新啟動 SSH 可能會將您鎖定在服務(wù)器之外，需要您使用救援模式或Web 控制臺來恢復(fù)配置。您必須在重新啟動服務(wù)器之前配置防火墻。我們將在下一節(jié)討論防火墻。

修改軟件防火墻并重啟SSH

注意：?RackConnect 客戶：要管理防火墻規(guī)則，請使用 RackConnect 管理而不是iptables在服務(wù)器上。如果您使用 RackConnect，則不應(yīng)更改 SSH 端口。有關(guān)防火墻和 RackConnect 的更多信息，請參閱?管理 RackConnect v2.0 網(wǎng)絡(luò)策略。

每個 Linux 發(fā)行版都使用不同的軟件防火墻解決方案。在 Red Hat Enterprise Linux (RHEL) 和 CentOS 7 中，默認(rèn)防火墻是firewalld.?在基于 Debian 和 Ubuntu 的發(fā)行版上，默認(rèn)的防火墻解決方案是簡單防火墻 (UFW)。對于 RHEL 和 CentOS 6，默認(rèn)解決方案是iptables.?有關(guān)您服務(wù)器的操作系統(tǒng)，請參閱以下部分。

RHEL、CENTOS 7 和防火墻

1. 通過運行以下命令打開新的 SSH 端口：

    sudo firewall-cmd --permanent --remove-service=ssh
    sudo firewall-cmd --permanent --add-port=2222/tcp
    sudo firewall-cmd --reload
   

   替換2222為您用于 SSH 守護程序的端口。

2. sshd通過運行以下命令重新啟動服務(wù)：

    sudo systemctl restart sshd
   

3. 驗證您的自定義 SSH 端口是否在服務(wù)器上打開：

    netstat -plnt | grep ssh
   

如果您按照這些步驟操作，您應(yīng)該會看到類似于以下輸出的內(nèi)容：

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

UBUNTU、DEBIAN 和 UFW

1. 通過運行以下命令打開新的 SSH 端口：

    sudo ufw allow 2222
   

   替換2222為您用于 SSH 守護程序的端口。

2. sshd通過運行以下命令重新啟動服務(wù)：

    sudo systemctl restart sshd
   

3. 通過運行以下命令驗證您的自定義 SSH 端口是否在服務(wù)器上打開：

    netstat -plnt | grep ssh
   

如果您按照這些步驟操作，您應(yīng)該會看到類似于以下輸出的內(nèi)容：

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

CENTOS 6 和 IPTABLES

注意：RHEL 和 CentOS 6 將于 2020 年 11 月被標(biāo)記為生命周期結(jié)束。為了獲得最佳安全實踐，我們強烈建議您考慮使用更新的操作系統(tǒng)版本來托管您的應(yīng)用程序或網(wǎng)站。

1. 通過運行以下命令打開新的 SSH 端口：

   sudo iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
   sudo service iptables-save
   

   替換2222為您用于 SSH 守護程序的端口。

2. 運行以下命令重新啟動 SSH 守護程序，以便守護程序應(yīng)用您設(shè)置的新配置：

   sudo service sshd restart
   

3. 通過運行以下命令驗證您的自定義 SSH 端口是否在服務(wù)器上打開：

    netstat -plnt | grep ssh
   

如果您按照這些步驟操作，您應(yīng)該會看到類似于以下輸出的內(nèi)容：

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

對操作系統(tǒng)進(jìn)行更改后，在本地計算機上打開另一個終端窗口，并以您之前創(chuàng)建的用戶身份登錄服務(wù)器。請記住指定新更改的端口。保持原始連接處于活動狀態(tài)，以防您需要對配置進(jìn)行故障排除。

要使用新配置連接到 SSH，您可能需要指定要使用的端口號和密鑰。例如：

    ssh -p 2222 -i ~/.ssh/id_rsa {username}@{remotePublicIPAddress}

-p選項指定端口，選項-i指定用于連接的私鑰。

如果您從 Windows 桌面連接，當(dāng)您在PuTTY中創(chuàng)建連接時，您可以指定端口號和私鑰。

簡單的入侵防御

大多數(shù)潛在的入侵者對同一個端口進(jìn)行多次攻擊，試圖在該端口上運行的軟件中找到他們可以利用的東西。幸運的是，您可以在服務(wù)器上設(shè)置像?fail2ban這樣的入侵防御工具來阻止對端口的重復(fù)攻擊。

注意：托管操作服務(wù)器已fail2Ban安裝并默認(rèn)配置為監(jiān)視 SSH 登錄嘗試。如果您有任何問題或疑慮，請聯(lián)系您的支持團隊。

fail2ban監(jiān)控日志并在短時間內(nèi)發(fā)現(xiàn)來自同一主機的過多連接時自動阻止連接。要在您的服務(wù)器上設(shè)置和配置fail2ban?，請使用以下步驟：

1. 要fail2ban在您的服務(wù)器上安裝，請運行以下命令之一。

   RHEL 和 CentOS：

   sudo yum install fail2ban
   

   Debian 和 Ubuntu：

   sudo apt-get install fail2ban
   

2. 使用以下命令復(fù)制您的默認(rèn)fail2ban配置。新創(chuàng)建的文件會覆蓋默認(rèn)配置并允許您安全地修改文件。

   sudo cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

3. 修改您的文件以在fail2ban.

   vim /etc/fail2ban/jail.local
   

   在此文件中，您可以設(shè)置以下選項：

   • ignoreip：此參數(shù)允許您指定不應(yīng)禁止的任何 IP 地址。
   • bantime：此參數(shù)允許您指定禁止 IP 地址的秒數(shù)。
   • findtime：此參數(shù)檢查maxretry指定時間內(nèi)的觸發(fā)器指示。
   • maxretry：此參數(shù)設(shè)置IP地址被禁止之前允許的重試次數(shù)。
4. 為 SSH 登錄嘗試創(chuàng)建一個 jail 文件。

   vim /etc/fail2ban/jail.d/sshd.local
   

5. 在創(chuàng)建的文件中，復(fù)制并粘貼以下文本：

   [sshd]
   enabled = true
   port = ssh
   #action = firewallcmd-ipset
   logpath = %(sshd_log)s
   maxretry = 3
   bantime = 86400
   

   這些選項會在 24 小時內(nèi)通過 SSH 連接三次失敗后禁止 IP 地址。如果您知道您的本地 IP 地址，我們強烈建議您在上一節(jié)中添加此 IP 地址作為ignoreip參數(shù)。

6. fail2ban使用以下命令在您的服務(wù)器上啟動和啟用：

   RHEL 和 CentOS 7 或 Debian 和 Ubuntu：

    sudo systemctl start fail2ban
    sudo systemctl enable fail2ban
   

   RHEL 和 CentOS 6：

    sudo service fail2ban start
    sudo chkconfig fail2ban on
   

入侵檢測

入侵檢測系統(tǒng) (IDS) 可以幫助管理員監(jiān)控系統(tǒng)中的可疑活動和可能的漏洞。IDS 比預(yù)防工具更強大，fail2ban但設(shè)置和維護起來可能更復(fù)雜。

一個流行的開源 IDS 是OSSEC。OSSEC 在多個系統(tǒng)上維護向主服務(wù)器報告的代理，即使該服務(wù)器已關(guān)閉，也允許調(diào)查來自潛在受損服務(wù)器的日志和警報。

如果您懷疑系統(tǒng)已經(jīng)受到威脅，您可以通過檢查后門和入侵者?以及救援模式調(diào)查等程序進(jìn)行調(diào)查。

使您的操作系統(tǒng)保持最新（修補）

使您的內(nèi)核、包和依賴項保持最新非常重要，尤其是對于與安全相關(guān)的模塊和包。某些更新（例如內(nèi)核更新）需要您重新啟動服務(wù)器。您應(yīng)該將維護安排在對用戶影響最小的時間進(jìn)行，因為這些維護會導(dǎo)致短暫的停機時間。

重要提示：雖然保持系統(tǒng)處于最新狀態(tài)至關(guān)重要，但請確保您應(yīng)用的更新不會對您的生產(chǎn)環(huán)境產(chǎn)生負(fù)面影響。

要在 Ubuntu 操作系統(tǒng)和 Debian 上檢查并安裝更新，請運行以下命令：

sudo apt-get update
sudo apt-get upgrade

要在 CentOS、Red Hat 和 Fedora 系統(tǒng)上檢查和安裝更新，請運行以下命令：

sudo yum update

操作系統(tǒng)報廢

了解您在服務(wù)器上運行的 Linux 發(fā)行版何時達(dá)到其生命周期結(jié)束 (EOL)。當(dāng)一個版本達(dá)到其 EOL 時，發(fā)行版的維護者不再支持它或通過他們的官方存儲庫提供包更新。您應(yīng)該在當(dāng)前版本達(dá)到其 EOL 之前計劃好遷移到較新版本。

使用以下鏈接了解您的 Linux 發(fā)行版何時設(shè)置為 EOL：

• Ubuntu 操作系統(tǒng)：https ://wiki.ubuntu.com/Releases
• 紅帽企業(yè) Linux (RHEL)：https ://access.redhat.com/support/policy/updates/errata/
• CentOS：和紅帽一樣
• Fedora：https ://fedoraproject.org/wiki/End_of_life
• Debian：https ://wiki.debian.org/DebianReleases

賬戶級安全

盡管保護您的服務(wù)器是 Internet 操作的重要組成部分，但保護您的帳戶也是必要的。您的帳戶名、密碼和 API 密鑰是您與 Rackspace 云產(chǎn)品交互方式的重要組成部分。就像任何其他密碼或訪問憑據(jù)一樣，您希望確保它們的安全。但是，您還需要允許您的團隊采取行動并執(zhí)行必要的任務(wù)。

通過使用?基于角色的訪問控制 (RBAC)，您可以創(chuàng)建用戶并向負(fù)責(zé)使用各種 Rackspace 服務(wù)的個人或應(yīng)用程序授予權(quán)限。通過利用 RBAC，您可以讓您的團隊和承包商僅訪問他們需要的實用程序，并在必要時撤銷訪問權(quán)限。

以下是一些使用場景：

• 允許承包商設(shè)置您雇用他們創(chuàng)建的環(huán)境，但限制他們查看或更改任何信用卡信息或刪除您的帳戶的能力。
• 允許您的會計師查看賬單，但不要刪除您的服務(wù)器。
• 聘請數(shù)據(jù)庫管理員 (DBA) 并授予 DBA 訪問您的 DBaaS 實例的權(quán)限。
• 允許客戶將文件直接上傳到您的 Cloud Files 帳戶。
• 配置您的服務(wù)器以注冊和使用與您的管理員帳戶分開的監(jiān)控和備份代理的特定用戶。