V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RoyShaw
V2EX  ›  Ubuntu

全新安装的 Ubuntu Server 需要做哪些安全方面的加固?

  •  
  •   RoyShaw · 2015-01-11 12:26:05 +08:00 · 8449 次点击
    这是一个创建于 3606 天前的主题,其中的信息可能已经有所发展或是发生改变。
    14 条回复    2015-01-12 19:54:18 +08:00
    RoyShaw
        2
    RoyShaw  
    OP
       2015-01-11 12:42:32 +08:00
    如果 ufw 没有 enable 会有哪些安全问题,会有那种能够直接拿 root 权限的漏洞么?
    loading
        3
    loading  
       2015-01-11 13:22:50 +08:00 via Android
    @RoyShaw 如果有公开漏洞,官方一定补……
    liangdi
        4
    liangdi  
       2015-01-11 13:26:58 +08:00
    基础的就是
    1.设置一下 ssh 登入方式:禁止root登入,禁止密码登录,使用密钥,设置sudo用户
    2.设置防火墙,只留必要端口或者白名单ip
    3.关闭/卸载不必要的服务
    coagent
        5
    coagent  
       2015-01-11 17:02:20 +08:00 via iPhone   ❤️ 1
    Fail2ban 加固SSH,配合iptables很好
    br00k
        6
    br00k  
       2015-01-11 17:29:18 +08:00
    这个我也需要,关注一下。
    onemoo
        7
    onemoo  
       2015-01-11 17:40:28 +08:00
    和其他发行版没区别吧
    主要是设置好ssh、防火墙iptables,注意更新安全补丁。如果可以的话,启用SELinux。
    msg7086
        8
    msg7086  
       2015-01-11 19:16:00 +08:00
    *一般*来说,禁止root密码登录+fail2ban可以解决99.9%的攻击。
    lenmore
        9
    lenmore  
       2015-01-11 23:42:43 +08:00
    还可以:
    1. 禁ping, https://help.ubuntu.com/community/UFW#Allow_Access
    2. 改ssh端口

    这可以避免很多探测器的骚扰
    ryd994
        10
    ryd994  
       2015-01-12 02:46:29 +08:00 via Android
    禁root这什么心态……
    用公钥然后禁密码才是正道
    端口肯定要改,不然安全日志一天到晚刷,真出了什么事就查不到该查的了
    xiaoks
        11
    xiaoks  
       2015-01-12 10:08:27 +08:00   ❤️ 1
    本人就是做网络安全方面的工作,以一个攻击者的角度,给你点建议:
    1、在端口方面做文章其实没什么用。
    2、限制root用户也没什么用。
    3、你要做的是关注你的口令是否复杂,别很容易被人猜到。
    4、做好web权限的分离,web别被人攻破。如果权限做的好,也就是把你数据库拖了、代码下载了。现在危害也不是非常高。(如果说我的目的拿你的数据库,这时我的目的已经达到了。)
    5、如果说web层你没有信心防护好,那就要勤打linux的补丁,防止被攻陷了web后再被拿到root权限。(我一般不会去费尽心机搞root,拿到了root对我来说用处也不大。)
    Admstor
        12
    Admstor  
       2015-01-12 12:24:30 +08:00   ❤️ 1
    @xiaoks 说的很对
    基本上要你的权限是为了用你的资源或者数据资料
    数据库这里不多说了,水很深,而且我也不太懂,毕竟我是做SA运维,基本的权限分离,读写分离是一定要有的
    然后禁不禁root没什么意思,只是给自己添加麻烦,因为入侵重点不是这里
    改端口,密码复杂,使用key文件,这些都是提高暴力破解难度,改端口主要是为了查找方便,不然一堆扫描器产生的日志会掩盖特定的入侵
    复杂的密码和key文件目的都是一致,虽然你key文件的暴力破解几乎不可能,但是依然存在泄露的可能,所以经常更换口令才是王道

    web入侵是比较常见的,这取决于程序员的水平
    如果运行的代码自己不可控(例如是别人的程序)
    那么一定要慎重选择,经常更新
    xiaoks
        13
    xiaoks  
       2015-01-12 14:27:18 +08:00
    @Admstor

    我对SA运维不熟悉。但是有一点我可以肯定。读写分离应该与服务器性能有关,和安全没什么关系。。。。
    uJohnny
        14
    uJohnny  
       2015-01-12 19:54:18 +08:00
    1.改SSH登陆端口
    2.生成SSH证书, 禁用密码登陆
    3.设置iptable
    3.安装fail2ban
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1332 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:44 · PVG 01:44 · LAX 09:44 · JFK 12:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.