這是一個(gè)不錯(cuò)的新 Linux 服務(wù)器……如果它發(fā)生了什么事，那就太可惜了。開(kāi)箱即用可能運(yùn)行良好，但在將其投入生產(chǎn)之前，您需要采取 10 個(gè)步驟來(lái)確保其配置安全。這些步驟的細(xì)節(jié)可能因發(fā)行版而異，但從概念上講，它們適用于任何風(fēng)格的 Linux。通過(guò)在新服務(wù)器上檢查這些步驟，您可以確保它們至少對(duì)最常見(jiàn)的攻擊具有基本保護(hù)。

1 - 用戶配置

如果它不是您的操作系統(tǒng)設(shè)置的一部分，那么您要做的第一件事就是更改 root 密碼。這應(yīng)該是不言而喻的，但在例行服務(wù)器設(shè)置過(guò)程中可能會(huì)令人驚訝地被忽視。密碼應(yīng)至少為 8 個(gè)字符，使用大小寫字母、數(shù)字和符號(hào)的組合。如果您要使用本地帳戶，您還應(yīng)該設(shè)置一個(gè)密碼策略，指定老化、鎖定、歷史和復(fù)雜性要求。在大多數(shù)情況下，您應(yīng)該完全禁用 root 用戶，并為需要提升權(quán)限的用戶創(chuàng)建具有 sudo 訪問(wèn)權(quán)限的非特權(quán)用戶帳戶。

2 - 網(wǎng)絡(luò)配置

您需要進(jìn)行的最基本配置之一是通過(guò)為服務(wù)器分配 IP 地址和主機(jī)名來(lái)啟用網(wǎng)絡(luò)連接。對(duì)于大多數(shù)服務(wù)器，您需要使用靜態(tài) IP，以便客戶端始終可以在同一地址找到資源。如果您的網(wǎng)絡(luò)使用 VLAN，請(qǐng)考慮服務(wù)器網(wǎng)段的隔離程度以及最適合的位置。如果您不使用 IPv6，請(qǐng)將其關(guān)閉。設(shè)置主機(jī)名、域和 DNS 服務(wù)器信息。應(yīng)該使用兩個(gè)或更多 DNS 服務(wù)器來(lái)實(shí)現(xiàn)冗余，并且您應(yīng)該測(cè)試 nslookup 以確保名稱解析正常工作。

3 - 包管理

假設(shè)您正在為特定目的設(shè)置新服務(wù)器，因此請(qǐng)確保安裝您可能需要的任何軟件包，如果它們不是您正在使用的發(fā)行版的一部分。這些可能是 PHP、MongoDB、ngnix 等應(yīng)用程序包或 pear 等支持包。同樣，應(yīng)刪除系統(tǒng)上安裝的任何無(wú)關(guān)軟件包以縮小服務(wù)器占用空間。所有這些都應(yīng)該通過(guò)您的發(fā)行版的包管理解決方案來(lái)完成，例如 yum 或 apt，以便在以后更輕松地進(jìn)行管理。

4 - 更新安裝和配置

在服務(wù)器上安裝正確的軟件包后，您應(yīng)該確保所有內(nèi)容都已更新。不僅是您安裝的軟件包，還有內(nèi)核和默認(rèn)軟件包。除非您對(duì)特定版本有要求，否則應(yīng)始終使用最新的生產(chǎn)版本來(lái)確保系統(tǒng)安全。通常，您的包管理解決方案將提供最新的受支持版本。如果這樣做適用于您在此服務(wù)器上托管的服務(wù)，您還應(yīng)該考慮在包管理工具中設(shè)置自動(dòng)更新

5 - NTP 配置

配置您的服務(wù)器以將其時(shí)間同步到 NTP 服務(wù)器。如果您的環(huán)境有內(nèi)部 NTP 服務(wù)器，它們可以是內(nèi)部 NTP 服務(wù)器，也可以是任何人都可以使用的外部時(shí)間服務(wù)器。重要的是防止時(shí)鐘漂移，即服務(wù)器的時(shí)鐘偏離實(shí)際時(shí)間。這可能會(huì)導(dǎo)致很多問(wèn)題，包括在授予訪問(wèn)權(quán)限之前測(cè)量服務(wù)器和身份驗(yàn)證基礎(chǔ)設(shè)施之間的時(shí)間偏差的身份驗(yàn)證問(wèn)題。這應(yīng)該是一個(gè)簡(jiǎn)單的調(diào)整，但它是可靠基礎(chǔ)架構(gòu)的關(guān)鍵部分。

6 - 防火墻和 iptables

根據(jù)您的發(fā)行版，iptables可能已經(jīng)完全鎖定并要求您打開(kāi)所需的內(nèi)容，但是無(wú)論默認(rèn)配置如何，您都應(yīng)該始終查看它并確保它按照您想要的方式進(jìn)行設(shè)置。請(qǐng)記住始終使用最小權(quán)限原則，并且只打開(kāi)該服務(wù)器上的服務(wù)絕對(duì)需要的那些端口。如果您的服務(wù)器位于某種專用防火墻的后面，請(qǐng)確保拒絕所有內(nèi)容，但也拒絕那里的必要內(nèi)容。假設(shè)你的 iptables/firewall 默認(rèn)是限制性的，不要忘記打開(kāi)你的服務(wù)器需要的東西來(lái)完成它的工作！

7 - 保護(hù) SSH

SSH 是 Linux 發(fā)行版的主要遠(yuǎn)程訪問(wèn)方法，因此應(yīng)該得到適當(dāng)?shù)谋Ｗo(hù)。即使您禁用了該帳戶，您也應(yīng)該禁用 root 遠(yuǎn)程 SSH 的功能，以便萬(wàn)一 root 由于某種原因在服務(wù)器上啟用，它仍然無(wú)法遠(yuǎn)程利用。如果您有一組要連接的固定客戶端 IP，您還可以將 SSH 限制在某些 IP 范圍內(nèi)。或者，您可以更改默認(rèn) SSH 端口以“隱藏”它，但老實(shí)說(shuō)，簡(jiǎn)單的掃描將向任何想要找到它的人揭示新的開(kāi)放端口。最后，您可以完全禁用密碼身份驗(yàn)證并使用基于證書(shū)的身份驗(yàn)證來(lái)進(jìn)一步減少 SSH 被利用的機(jī)會(huì)。

8 - 守護(hù)程序配置

您已經(jīng)清理了軟件包，但將正確的應(yīng)用程序設(shè)置為在重新啟動(dòng)時(shí)自動(dòng)啟動(dòng)也很重要。請(qǐng)務(wù)必關(guān)閉您不需要的任何守護(hù)程序。安全服務(wù)器的一個(gè)關(guān)鍵是盡可能減少活動(dòng)占用空間，因此唯一可用于攻擊的表面區(qū)域是應(yīng)用程序所需的表面區(qū)域。完成此操作后，應(yīng)盡可能強(qiáng)化剩余服務(wù)以確保彈性。

9 - SELinux 和進(jìn)一步強(qiáng)化

如果您曾經(jīng)使用過(guò) Red Hat 發(fā)行版，那么您可能熟悉SELinux，這是一種內(nèi)核強(qiáng)化工具，可以保護(hù)系統(tǒng)免受各種操作的影響。SELinux 非常擅長(zhǎng)防止未經(jīng)授權(quán)的使用和訪問(wèn)系統(tǒng)資源。它在破壞應(yīng)用程序方面也很出色，因此請(qǐng)確保在啟用 SELinux 的情況下測(cè)試您的配置，并使用日志來(lái)確保沒(méi)有任何合法的被阻止。除此之外，您還需要研究強(qiáng)化任何應(yīng)用程序，例如MySQL或Apache，因?yàn)槊總€(gè)應(yīng)用程序都有一套最佳實(shí)踐可供遵循。

10 - 記錄

最后，您應(yīng)該確保您需要的日志記錄級(jí)別已啟用并且您有足夠的資源用于它。您最終將對(duì)此服務(wù)器進(jìn)行故障排除，所以現(xiàn)在幫自己一個(gè)忙，構(gòu)建快速解決問(wèn)題所需的日志結(jié)構(gòu)。大多數(shù)軟件都有可配置的日志記錄，但您需要反復(fù)試驗(yàn)才能在信息不足和信息過(guò)多之間找到適當(dāng)?shù)钠胶恻c(diǎn)。有許多第三方日志記錄工具可以幫助完成從聚合到可視化的所有工作，但首先需要考慮每個(gè)環(huán)境的需求。然后，您可以找到可以幫助您填充它們的工具。

這些步驟中的每一個(gè)都可能需要一些時(shí)間來(lái)實(shí)施，尤其是第一次。但是通過(guò)建立初始服務(wù)器配置例程，您可以確保環(huán)境中的新機(jī)器具有彈性。如果您的服務(wù)器曾經(jīng)是攻擊的目標(biāo)，那么不采取任何這些步驟都可能導(dǎo)致非常嚴(yán)重的后果。跟隨它們并不能保證安全——數(shù)據(jù)泄露會(huì)發(fā)生——但它確實(shí)使惡意行為者變得更加困難，并且需要一定程度的技能才能克服。