Ubuntu服務(wù)器一直都是大家非常重視的問題，雖然我們無法絕對(duì)保證服務(wù)器安全，但是我們可以盡可能的讓它比以前哼安全，那么你知道怎樣才能讓我們的服務(wù)器變得更安全嗎？現(xiàn)在就讓小編教你保護(hù)Ubuntu服務(wù)器。

Ubuntu服務(wù)器設(shè)計(jì)優(yōu)良，并有定期更新，相對(duì)來說是比較安全的，Ubuntu安全團(tuán)隊(duì)表示會(huì)不斷努力，保護(hù)Ubuntu的安全，將會(huì)定期提供安全更新。

· 不打開端口

· 基于角色的管理

· 無X服務(wù)器

· 安全更新

· 內(nèi)核和編譯器保護(hù)

在這篇文章中，我們將從不同方向來應(yīng)對(duì)安全挑戰(zhàn)，包括：系統(tǒng)分析，修改設(shè)置，安裝防火墻，掃描rootkit和制定周期性維護(hù)制度。

· 修改設(shè)置，增強(qiáng)安全性

· 實(shí)施UFW，簡(jiǎn)單的防火墻

· 使用denyhosts自動(dòng)將攻擊者列入黑名單

· 使用Tiger掃描系統(tǒng)漏洞

· 使用psad檢測(cè)入侵嘗試行為

· 安裝nmap，掃描系統(tǒng)打開的端口

· 使用chkrootkit檢查系統(tǒng)rootkit

· 監(jiān)控日志

修改設(shè)置，增強(qiáng)安全

保護(hù)共享內(nèi)存

攻擊一個(gè)運(yùn)行中的服務(wù)(如httpd)時(shí)經(jīng)常要使用/dev/shm，修改/etc/fstab使其更安全。

sudo vi /etc/fstab

添加下面這一行內(nèi)容：

tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0

禁止root通過SSH登錄

Root帳號(hào)在Ubuntu中默認(rèn)是被禁用了的，如果你在Slicehost或Linode上安裝Ubuntu，root則是被啟用的，無論怎樣，禁止root通過SSH登錄系統(tǒng)都是一個(gè)好主意。

sudo vi /etc/ssh/sshd_config

將PermitRootLogin設(shè)為no:

PermitRootLogin no

當(dāng)然，如果你通過SSH訪問你的服務(wù)器，在禁用root使用SSH之前，確保其它用戶可以正常使用sudo工作。

只允許管理用戶使用su

這將有助于預(yù)防特權(quán)提升，默認(rèn)情況下，Ubuntu沒有提供管理組，因此需要先創(chuàng)建一個(gè)管理組。

sudo groupadd admin

將你自己加入到管理組：

sudo usermod -a -G admin andrew

限制/bin/su的訪問權(quán)，僅授予管理組成員：

sudo dpkg-statoverride --update --add root admin 4750 /bin/su

檢查/bin/su的權(quán)限：

ls -lh /bin/su

看到下面的輸出內(nèi)容：

-rwsr-x--- 1 root admin 31K 2010-01-26 17:09 /bin/su

不允許跟蹤入站數(shù)據(jù)包的源路由

sudo sysctl -w net.ipv4.conf.all.accept_source_route=0
sudo sysctl --w net.ipv4.conf.default.accept_source_route=0

不允許系統(tǒng)用戶訪問FTP服務(wù)器

只有當(dāng)你安裝了ftpd才需要這么做，只要tiger掃描報(bào)告中不出現(xiàn)相關(guān)警告即可，SFTP比FTP的安全性要好，如果可能，應(yīng)盡量使用SFTP。

Edit /etc/ftpusers:

sudo vi /etc/ftpusers

添加系統(tǒng)用戶拒絕使用ftpd：

?

?

1. backup?
2. bin?
3. daemon?
4. games?
5. gnats?
6. irc?
7. libuuid?
8. list?
9. lp?
10. mail?
11. man?
12. mysql?
13. news?
14. ntp?
15. postfix?
16. proxy?
17. sshd?
18. sync?
19. sys?
20. syslog?
21. uucp?
22. www-data?

UFW：簡(jiǎn)單防火墻

UFW(Uncomplicated Firewall，簡(jiǎn)單防火墻)提供了一個(gè)易于理解的接口控制iptable(iptable控制Netfilter，Netfilter內(nèi)置于內(nèi)核之中)，只需要幾個(gè)簡(jiǎn)單的命令，你的服務(wù)器就可以控制訪問，創(chuàng)建狀態(tài)也很容易。

UFW是用于配置iptable的一個(gè)簡(jiǎn)單接口。

安裝并啟用Uncomplicated Firewall：

sudo aptitude install -y ufw
sudo ufw enable

顯示可用的UFW命令：

sudo ufw show

顯示UFW配置：

sudo ufw status

允許SSH和HTTP訪問Apache服務(wù)器：

sudo ufw allow ssh
sudo ufw allow http

在上面的示例中，OpenSSH和Apache的端口通過服務(wù)名(ssh和http)打開，你可以使用端口號(hào)替換這里的服務(wù)名(如用80替換http)。

查看服務(wù)運(yùn)行情況：

查看運(yùn)行中的服務(wù)，便知道應(yīng)該打開哪些端口：

sudo ufw app list

查看UFW使用的服務(wù)：

less /etc/services

Denyhosts：避免SSH攻擊

項(xiàng)目主頁: http://denyhosts.sourceforge.net/

查看服務(wù)器上的/var/log/auth.log，我發(fā)現(xiàn)有一連串的SSH攻擊，對(duì)付這種攻擊有很多方法，首先就是denyhosts。

Denyhosts會(huì)周期性地掃描/var/log/auth.log，找出通過SSH反復(fù)失敗訪問系統(tǒng)的行為和來源，然后將它們添加到/etc/hosts.deny中。詳細(xì)情況請(qǐng)?jiān)L問項(xiàng)目主頁。

sudo aptitude -y install denyhosts

要做的就這些，剩下來的都是自動(dòng)的，你可以使用下面的命令查看添加到/etc/hosts.deny中的IP地址：

sudo less /etc/hosts.deny

Tiger：系統(tǒng)安全掃描器

項(xiàng)目主頁: http://www.nongnu.org/tiger/

通過分析系統(tǒng)上的文件和設(shè)置，Tiger創(chuàng)建自動(dòng)的安全審核，最終以報(bào)告的形式列出分析的內(nèi)容，警告，警報(bào)和故障。

Tiger命令在/var/log/tiger中記錄了潛在的安全問題，使用tigexp命令查找結(jié)果編碼可以獲得詳細(xì)的解釋和安全加固建議，tiger認(rèn)為很嚴(yán)重的問題都標(biāo)記為Fail。

安裝tiger：

sudo aptitude -y install tiger

運(yùn)行tiger，創(chuàng)建一個(gè)安全問題報(bào)告：

sudo tiger

使用less查看最近的tiger報(bào)告：

sudo -i
less /var/log/tiger/`ls -t1 /var/log/tiger | head -1`
exit

使用tigexp列出Fail代碼的解釋：

tigexp dev002f

當(dāng)然使用Google搜索一下也可以。

忽略這些：

--FAIL-- [dev002f] /dev/fuse has world permissions
--FAIL-- [logf005f] Log file /var/log/btmp permission should be 660

修改它們的權(quán)限可能會(huì)導(dǎo)致其它問題。

使用psad檢測(cè)入侵行為

項(xiàng)目主頁: http://www.cipherdyne.org/psad/

Psad可以記錄下入侵行為，還可以監(jiān)控iptable。

安裝psad：

sudo aptitude -y install psad

后臺(tái)進(jìn)程會(huì)自動(dòng)運(yùn)行。

檢查當(dāng)前的狀態(tài)：

sudo psad -S

你可以修改psad設(shè)置，檢測(cè)到入侵行為時(shí)給管理員發(fā)送電子郵件。

Nmap：端口掃描

項(xiàng)目主頁: http://nmap.org/

Nmap允許你查看打開的端口，驗(yàn)證UFW/iptable工作是否正常。

安裝nmap：

sudo aptitude install -y nmap

端口掃描：

nmap -v -sT localhost

SYN掃描：

sudo nmap -v -sS localhost

掃描類型解釋: http://nmap.org/book/man-port-scanning-techniques.html

Chkrootkit：檢查rootkit

項(xiàng)目主頁: http://www.chkrootkit.org/

Chkrootkit掃描系統(tǒng)中是否存在rootkit。

理想情況下，你并不需要做這種掃描，但現(xiàn)實(shí)中最好還是定期運(yùn)行一下。

安裝chkrootkit：

sudo aptitude install -y chkrootkit

運(yùn)行chkrootkit：

sudo chkrootkit

LogWatch

Ubuntu社區(qū)文檔: https://help.ubuntu.com/community/Logwatch

日志再詳細(xì)，如果沒有一款好用的日志查看器，日志起的作用也非常有限，Logwatch可以從海量的日志中精選出最有用的信息，形成一個(gè)易讀的報(bào)告，每天打開Logwatch看一下系統(tǒng)產(chǎn)生的日志是一個(gè)良好的習(xí)慣。

安裝：

sudo aptitude -y install logwatch

用法：

sudo logwatch | less

持續(xù)維護(hù)

你的服務(wù)器現(xiàn)在更安全了，但不要就此停下來，每周例行一次維護(hù)是個(gè)好習(xí)慣。

更新軟件：

sudo aptitude update
sudo aptitude safe-upgrade

我喜歡使用safe-upgrade，因?yàn)樗鼒?zhí)行的是安全更新。

請(qǐng)看: http://wiki.debian.org/Aptitude

或者，你可以將安全更新設(shè)置為自動(dòng)，如果你不能每周維護(hù)一次，這不是一個(gè)完美的解決方案，因?yàn)楣芾韱T沒有監(jiān)控更新了什么，更新后也沒有執(zhí)行測(cè)試。請(qǐng)看: https://help.ubuntu.com/10.04/serverguide/C/automatic-updates.html

檢查入侵行為：

sudo psad -S

請(qǐng)先使用tiger分析一下系統(tǒng)，因?yàn)閠iger在/var/log/tiger中的報(bào)告屬于root用戶，每次都運(yùn)行一下這些命令，解決有些用戶的權(quán)限問題。

sudo -i
tiger
grep FAIL /var/log/tiger/`ls -t1 /var/log/tiger | head -1`
exit

在上面的命令中，使用grep從最新的報(bào)告文件中提取出Fail標(biāo)記，ls子句給grep輸送目錄中的最新文件，sudo -i命令允許你以root用戶運(yùn)行多個(gè)命令，使用exit結(jié)束命令。

使用tigexp列出Fail代碼的解釋：

tigexp dev002f

使用nmap掃描端口：

sudo nmap -v -sS localhost

檢查rootkit：

sudo chkrootkit

查看日志：

sudo logwatch | less

上文就是小編教你保護(hù)Ubuntu服務(wù)器的方法，其實(shí)安全是一個(gè)持續(xù)的過程，所以小編認(rèn)為安全領(lǐng)域是需要一點(diǎn)偏執(zhí)精神的。如果你想讓你的新Ubuntu服務(wù)器變得堅(jiān)不可摧，你應(yīng)該仔細(xì)閱讀本文。

標(biāo)簽： Ubuntu 服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。