這是一個不錯的新 Linux 服務(wù)器……如果它發(fā)生了什么事，那就太可惜了。開箱即用可能運行良好，但在將其投入生產(chǎn)之前，您需要采取 10 個步驟來確保其配置安全。這些步驟的細節(jié)可能因發(fā)行版而異，但從概念上講，它們適用于任何風格的 Linux。通過在新服務(wù)器上檢查這些步驟，您可以確保它們至少對最常見的攻擊具有基本保護。

1 - 用戶配置

如果它不是您的操作系統(tǒng)設(shè)置的一部分，那么您要做的第一件事就是更改 root 密碼。這應(yīng)該是不言而喻的，但在例行服務(wù)器設(shè)置過程中可能會令人驚訝地被忽視。密碼應(yīng)至少為 8 個字符，使用大小寫字母、數(shù)字和符號的組合。如果您要使用本地帳戶，您還應(yīng)該設(shè)置一個密碼策略，指定老化、鎖定、歷史和復(fù)雜性要求。在大多數(shù)情況下，您應(yīng)該完全禁用 root 用戶，并為需要提升權(quán)限的用戶創(chuàng)建具有 sudo 訪問權(quán)限的非特權(quán)用戶帳戶。

2 - 網(wǎng)絡(luò)配置

您需要進行的最基本配置之一是通過為服務(wù)器分配 IP 地址和主機名來啟用網(wǎng)絡(luò)連接。對于大多數(shù)服務(wù)器，您需要使用靜態(tài) IP，以便客戶端始終可以在同一地址找到資源。如果您的網(wǎng)絡(luò)使用 VLAN，請考慮服務(wù)器網(wǎng)段的隔離程度以及最適合的位置。如果您不使用 IPv6，請將其關(guān)閉。設(shè)置主機名、域和 DNS 服務(wù)器信息。應(yīng)該使用兩個或更多 DNS 服務(wù)器來實現(xiàn)冗余，并且您應(yīng)該測試 nslookup 以確保名稱解析正常工作。

3 - 包管理

假設(shè)您正在為特定目的設(shè)置新服務(wù)器，因此請確保安裝您可能需要的任何軟件包，如果它們不是您正在使用的發(fā)行版的一部分。這些可能是 PHP、MongoDB、ngnix 等應(yīng)用程序包或 pear 等支持包。同樣，應(yīng)刪除系統(tǒng)上安裝的任何無關(guān)軟件包以縮小服務(wù)器占用空間。所有這些都應(yīng)該通過您的發(fā)行版的包管理解決方案來完成，例如 yum 或 apt，以便在以后更輕松地進行管理。

4 - 更新安裝和配置

在服務(wù)器上安裝正確的軟件包后，您應(yīng)該確保所有內(nèi)容都已更新。不僅是您安裝的軟件包，還有內(nèi)核和默認軟件包。除非您對特定版本有要求，否則應(yīng)始終使用最新的生產(chǎn)版本來確保系統(tǒng)安全。通常，您的包管理解決方案將提供最新的受支持版本。如果這樣做適用于您在此服務(wù)器上托管的服務(wù)，您還應(yīng)該考慮在包管理工具中設(shè)置自動更新

5 - NTP 配置

配置您的服務(wù)器以將其時間同步到 NTP 服務(wù)器。如果您的環(huán)境有內(nèi)部 NTP 服務(wù)器，它們可以是內(nèi)部 NTP 服務(wù)器，也可以是任何人都可以使用的外部時間服務(wù)器。重要的是防止時鐘漂移，即服務(wù)器的時鐘偏離實際時間。這可能會導(dǎo)致很多問題，包括在授予訪問權(quán)限之前測量服務(wù)器和身份驗證基礎(chǔ)設(shè)施之間的時間偏差的身份驗證問題。這應(yīng)該是一個簡單的調(diào)整，但它是可靠基礎(chǔ)架構(gòu)的關(guān)鍵部分。

6 - 防火墻和 iptables

根據(jù)您的發(fā)行版，iptables可能已經(jīng)完全鎖定并要求您打開所需的內(nèi)容，但是無論默認配置如何，您都應(yīng)該始終查看它并確保它按照您想要的方式進行設(shè)置。請記住始終使用最小權(quán)限原則，并且只打開該服務(wù)器上的服務(wù)絕對需要的那些端口。如果您的服務(wù)器位于某種專用防火墻的后面，請確保拒絕所有內(nèi)容，但也拒絕那里的必要內(nèi)容。假設(shè)你的 iptables/firewall 默認是限制性的，不要忘記打開你的服務(wù)器需要的東西來完成它的工作！

7 - 保護 SSH

SSH 是 Linux 發(fā)行版的主要遠程訪問方法，因此應(yīng)該得到適當?shù)谋Ｗo。即使您禁用了該帳戶，您也應(yīng)該禁用 root 遠程 SSH 的功能，以便萬一 root 由于某種原因在服務(wù)器上啟用，它仍然無法遠程利用。如果您有一組要連接的固定客戶端 IP，您還可以將 SSH 限制在某些 IP 范圍內(nèi)?；蛘撸梢愿哪J SSH 端口以“隱藏”它，但老實說，簡單的掃描將向任何想要找到它的人揭示新的開放端口。最后，您可以完全禁用密碼身份驗證并使用基于證書的身份驗證來進一步減少 SSH 被利用的機會。

8 - 守護程序配置

您已經(jīng)清理了軟件包，但將正確的應(yīng)用程序設(shè)置為在重新啟動時自動啟動也很重要。請務(wù)必關(guān)閉您不需要的任何守護程序。安全服務(wù)器的一個關(guān)鍵是盡可能減少活動占用空間，因此唯一可用于攻擊的表面區(qū)域是應(yīng)用程序所需的表面區(qū)域。完成此操作后，應(yīng)盡可能強化剩余服務(wù)以確保彈性。

9 - SELinux 和進一步強化

如果您曾經(jīng)使用過 Red Hat 發(fā)行版，那么您可能熟悉SELinux，這是一種內(nèi)核強化工具，可以保護系統(tǒng)免受各種操作的影響。SELinux 非常擅長防止未經(jīng)授權(quán)的使用和訪問系統(tǒng)資源。它在破壞應(yīng)用程序方面也很出色，因此請確保在啟用 SELinux 的情況下測試您的配置，并使用日志來確保沒有任何合法的被阻止。除此之外，您還需要研究強化任何應(yīng)用程序，例如MySQL或Apache，因為每個應(yīng)用程序都有一套最佳實踐可供遵循。

10 - 記錄

最后，您應(yīng)該確保您需要的日志記錄級別已啟用并且您有足夠的資源用于它。您最終將對此服務(wù)器進行故障排除，所以現(xiàn)在幫自己一個忙，構(gòu)建快速解決問題所需的日志結(jié)構(gòu)。大多數(shù)軟件都有可配置的日志記錄，但您需要反復(fù)試驗才能在信息不足和信息過多之間找到適當?shù)钠胶恻c。有許多第三方日志記錄工具可以幫助完成從聚合到可視化的所有工作，但首先需要考慮每個環(huán)境的需求。然后，您可以找到可以幫助您填充它們的工具。

這些步驟中的每一個都可能需要一些時間來實施，尤其是第一次。但是通過建立初始服務(wù)器配置例程，您可以確保環(huán)境中的新機器具有彈性。如果您的服務(wù)器曾經(jīng)是攻擊的目標，那么不采取任何這些步驟都可能導(dǎo)致非常嚴重的后果。跟隨它們并不能保證安全——數(shù)據(jù)泄露會發(fā)生——但它確實使惡意行為者變得更加困難，并且需要一定程度的技能才能克服。