五招讓你的Ubuntu 16.04更安全
如果想讓Ubuntu伺服器的安全性能上升一個層次的話,請仔細閱讀下面的5招。
Ubuntu 16.04的安裝相對簡單,安裝之後,你將享受Linux帶來的安全性。實際上為了提高數據的安全性,你還可以做的更多,下面的5招將給你帶來不錯的安全收益。
1.確保共享內存的安全
黑客攻擊總會想查看共享內存,所以保證共享內存的安全的重要性不言而喻。可以修改 /etc/fstab文件來確保共享內存的安全。
首先,使用終端命令打開文件
sudonano /etc/fstab
然後,文件的底部加入如下代碼
tmpfs/run/shm tmpfs defaults,noexec,nosuid
保存,關閉文件。為了使改變生效,需要重啟Ubuntu 16.04.
2.允許特定用戶的ssh登錄
假如說你只想用戶名為olivia,IP地址為192.168.1.152的用戶通過secure shell,做法是這樣的:
1.打開終端命令窗口
2.使用命令打開ssh配置文件
sudonano /etc/ssh/sshd_config
sudoservice ssh restart
到這裡,secure shell只會讓IP地址為192.168.1.152的olivia獲得訪問Ubuntu伺服器的許可權。如果其他人嘗試使用ssh訪問伺服器,他們會被要求輸入密碼,但是即使密碼正確,訪問Ubuntu伺服器也會被拒絕。
假如,你想讓你的網路下的所有用戶都能通過ssh訪問伺服器的話,添加如下代碼
AllowUsers*@192.168.1.*
重啟ssh伺服器,就生效了。
3.添加一個安全登錄banner
添加一個安全登錄bannner似乎對你的伺服器安全沒有什麼作用,但是假如有人獲得訪問你伺服器的許可權後,看到了banner上的警告信息,可能會思考再三要不要繼續下去。雖然這是一種心裡作用,但是也不要小瞧了它。
創建一個新的banner步驟如下:
1.打開終端窗口
2.執行命令
sudonano /etc/issue.net
3.添加合適的警告信息
4.關閉,保存文件
接下來,我們要禁止motd顯示banner。首先打開終端輸入如下命令
sudonano /etc/pam.d/sshd
加入下面兩行(每行前加#)
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
在文本編輯器里打開 /etc/ssh/sshd_config文件,加入
Banner/etc/issue.net
關閉,保存文件
最後,使用命令重啟ssh伺服器
sudoservice ssh restart
這時,假如有人通過ssh登錄你的伺服器,他們就會看到你新加的banner,警告他們你在留意。
4.增強網路層
為避免你的Ubuntu伺服器上源路由輸入包,並且列印出所有畸形IP地址,可以使用命令
sudonano /etc/sysctl.conf
然後添加如下內容
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
關閉,保存文件,使用如下命令重啟。
sudosysctl -p
5.避免IP地址欺騙
接下來通過簡單的操作就可以避免IP地址欺騙。使用如下終端命令:
sudo nano /etc/host.conf
打開之後的文件是像這樣的:
# The "order" line is only used by old versions of the C library.
orderhosts,bind
multion
更改這個文件為:
# The "order" line is only used by old versions of the C library.
orderbind,hosts
nospoofon
保存,關閉文件,現在不會有IP地址欺騙了。
結束語:
我們只是從較淺的角度增強你的Ubuntu 16.04,但是這5招能顯著提高伺服器的安全性。後續我們會繼續關注這一話題,帶來更安全的Ubuntu平台安全攻略。
※教你認識Linux 各發行版之間的聯繫和區別
※利用深度學習病歷分析前沿進展
TAG:Linux資訊速推 |