五招讓你的Ubuntu 16.04更安全

如果想讓Ubuntu伺服器的安全性能上升一個層次的話，請仔細閱讀下面的5招。

Ubuntu 16.04的安裝相對簡單，安裝之後，你將享受Linux帶來的安全性。實際上為了提高數據的安全性，你還可以做的更多，下面的5招將給你帶來不錯的安全收益。

1.確保共享內存的安全

黑客攻擊總會想查看共享內存，所以保證共享內存的安全的重要性不言而喻。可以修改 /etc/fstab文件來確保共享內存的安全。

首先，使用終端命令打開文件

sudonano /etc/fstab

然後，文件的底部加入如下代碼

tmpfs/run/shm tmpfs defaults,noexec,nosuid

保存，關閉文件。為了使改變生效，需要重啟Ubuntu 16.04.

2.允許特定用戶的ssh登錄

假如說你只想用戶名為olivia，IP地址為192.168.1.152的用戶通過secure shell，做法是這樣的：

1.打開終端命令窗口

2.使用命令打開ssh配置文件

sudonano /etc/ssh/sshd_config

sudoservice ssh restart

到這裡，secure shell只會讓IP地址為192.168.1.152的olivia獲得訪問Ubuntu伺服器的許可權。如果其他人嘗試使用ssh訪問伺服器，他們會被要求輸入密碼，但是即使密碼正確，訪問Ubuntu伺服器也會被拒絕。

假如，你想讓你的網路下的所有用戶都能通過ssh訪問伺服器的話，添加如下代碼

AllowUsers*@192.168.1.*

重啟ssh伺服器，就生效了。

3.添加一個安全登錄banner

添加一個安全登錄bannner似乎對你的伺服器安全沒有什麼作用，但是假如有人獲得訪問你伺服器的許可權後，看到了banner上的警告信息，可能會思考再三要不要繼續下去。雖然這是一種心裡作用，但是也不要小瞧了它。

創建一個新的banner步驟如下：

1.打開終端窗口

2.執行命令

sudonano /etc/issue.net

3.添加合適的警告信息

4.關閉，保存文件

接下來，我們要禁止motd顯示banner。首先打開終端輸入如下命令

sudonano /etc/pam.d/sshd

加入下面兩行（每行前加#）

session optional pam_motd.so motd=/run/motd.dynamic

session optional pam_motd.so noupdate

在文本編輯器里打開 /etc/ssh/sshd_config文件，加入

Banner/etc/issue.net

關閉，保存文件

最後，使用命令重啟ssh伺服器

sudoservice ssh restart

這時，假如有人通過ssh登錄你的伺服器，他們就會看到你新加的banner，警告他們你在留意。

4.增強網路層

為避免你的Ubuntu伺服器上源路由輸入包，並且列印出所有畸形IP地址,可以使用命令

sudonano /etc/sysctl.conf

然後添加如下內容

# IP Spoofing protection

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing

net.ipv4.conf.all.accept_source_route = 0

net.ipv6.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 2048

net.ipv4.tcp_synack_retries = 2

net.ipv4.tcp_syn_retries = 5

# Log Martians

net.ipv4.conf.all.log_martians = 1

net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects

net.ipv4.conf.all.accept_redirects = 0

net.ipv6.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings

net.ipv4.icmp_echo_ignore_all = 1

關閉，保存文件，使用如下命令重啟。

sudosysctl -p

5.避免IP地址欺騙

接下來通過簡單的操作就可以避免IP地址欺騙。使用如下終端命令：

sudo nano /etc/host.conf

打開之後的文件是像這樣的：

# The "order" line is only used by old versions of the C library.

orderhosts,bind

multion

更改這個文件為：

# The "order" line is only used by old versions of the C library.

orderbind,hosts

nospoofon

保存，關閉文件，現在不會有IP地址欺騙了。

結束語：

我們只是從較淺的角度增強你的Ubuntu 16.04，但是這5招能顯著提高伺服器的安全性。後續我們會繼續關注這一話題，帶來更安全的Ubuntu平台安全攻略。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！