构建相对安全的服务器

作者: Dearmadman | 来源:发表于2016-08-20 07:44 被阅读580次

构建相对安全的服务器
软件开发之常见前端安全漏洞
webpack -- output中的path和publicPa
Iptables个性设置拒绝服务器访问外网
面试题简答
相对安全
Web开发中的安全问题
Centos7 修改或添加ssh登录端口
通过 HTTPS 和 SSL 确保安全（摘自安卓官方开发文档）
Java入门系列11 -- Tomcat的下载，安装，启动，集成

服务端安全

服务端安全一直是一个不容忽视却最容易被忽视的问题，本篇将介绍一些使服务端更为安全的最佳实践。此篇使用 Ubuntu 作为服务端操作系统。

Ubuntu

升级软件

对当前系统中默认安装的软件进行版本更新和安全修补，这一步可以使软件库和系统应用到最新的安全补丁：

apt-get update && apt-get upgrade

创建新用户

我们需要创建一个自己的用户来登录和使用服务器资源，而不是 root 这种众所周知的神一般的存在：

adduser Dearmadman --force-badname

接着，把 Dearmadman 加入 sodu 用户组，让自己拥有神的能力：

usermod -a -G sudo Dearmadman

启用 SSH 密钥对认证

通常远程连接到服务器时，一般都是用用户名密码的方式进行验证，类似下面这样：

ssh root@dearmadman.com

password: _

服务端要求你输入密码进行验证，这种密码验证是有可能被暴力破解的，所以我们可以禁用密码登录功能，使用密钥对来进行认证。

所谓密钥对就是在本地机器中生成一对密钥 —— 公钥和私钥，你需要将公钥存储于服务器中，服务器会在你请求认证时要求你使用私钥对公钥内容进行解密，并把解密后的消息传递到服务器进行验证。这种方式可以有效的杜绝暴力破解的可能，同时也避免了中间人攻击的可能。

生成 SSH 密钥对

ssh-keygen

这个命令会生成一对秘钥，存放在 ~/.ssh 目录中，其中 id_rsa.pub 是公钥，你需要将公钥传递到服务端，我们可以使用 scp 命令来复制公钥到服务端：

scp ~/.ssh/id_rsa.pub Dearmadman@dearmadman.com:

该命令会将公钥传递到服务器的 Dearmadman 用户的根目录中，我们需要确认在用户根目录中是否存在 .ssh 目录，如果不存在则需要手动创建，并在 .ssh 目录中创建一个保存一系列公钥的文件 authorized_keys，然后将上传的公钥追加到文件中:

cd /home/Dearmadman

mkdir .ssh

touch .ssh/authorized_keys

cat ~/id_rsa.pub >> /home/Dearmadman/.ssh/authorized_keys

最后修改目录和文件的访问权限，只让 Dearmadman 用户访问 .ssh 目录和 .ssh/authorized_keys 文件：

chwon -R Dearmadman:Dearmadman .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

SSH 配置

SSH 的配置信息存放在 /etc/ssh/sshd_config 文件中。

修改默认端口

SSH 默认监听的是 22 号端口，我们可以转换为监听其他端口:

Port 6293

禁用密码登录

PasswordAuthentication no

禁用 root 用户

PermitRootLogin no

重启 SSh

sudo service ssh restart

IPTABLES

利用 IPTABLES 可以对服务端流入和流出的数据包进行有效的管理。

保存原有规则：

iptables-save > /etc/iptables.rules

修改 filter 部分内容：

*filter
# 设置默认的链策略
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT

# 开放 6293 端口，用于 SSH 认证，默认为 22 端口，前文修改为 6293
-A INPUT -p tcp -m tcp --dport 6293 -j ACCEPT

# 开放 80 和 443 端口，分别用于 http 和 https 协议
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# 禁止 ping，默认的连策略已经禁止了 ping，这里修改 DROP 为 ACCEPT 将允许 ping
#-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
COMMIT

刷新规则:

iptables-restore < /etc/iptables.rules

下面是一些常用 web 服务相关软件，对于这些软件应独立出一个低权限用户来独立运行，并且应禁用该账号的登录权限。在此不做详细说明

PHP

修改 php.ini 禁止响应版本号

expose_php = Off

Nginx

修改 nginx.conf 隐藏版本号

http {
  server_tokens off;
}

MySQL

禁用远程访问，如果必要，请选择 ssh 密钥登录

构建相对安全的服务器
服务端安全服务端安全一直是一个不容忽视却最容易被忽视的问题，本篇将介绍一些使服务端更为安全的最佳实践。此篇使用 ...
软件开发之常见前端安全漏洞
软件开发完成后，在Web服务器在投入使用之前，应该确保服务器是相对安全地。保证服务器相对安全地前提是，要充分了解影...
webpack -- output中的path和publicPa
path用来指明webpack构建后输出构建结果的目录publicPath 资源路径用来指明相对于服务器根路径静...
Iptables个性设置拒绝服务器访问外网
服务器如果做到绝对安全，没有人给你保证，但是做到相对安全的就是把服务器禁止上网，但有的时候做为linux的运维人员...
面试题简答
一、AFN和ASI的区别 ASI用cookies 保存在本地，不安全 AFN用session 保存服务器，相对安全...
相对安全
公众号上，我写了发表的，主要是两类文章。一类是日记，就是我见了谁，或者我去了哪，我写下来了。另一类像是单口相声...
Web开发中的安全问题
网站安全是构建网站时必须要考虑的一个因素，网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。当然如果服务...
Centos7 修改或添加ssh登录端口
背景最近开了一个服务器，只要晚上一登录的时候就有很多，暴力破解的登录提示，没有觉得安全，只有相对的安全。自己的...
通过 HTTPS 和 SSL 确保安全（摘自安卓官方开发文档）
安全套接字层 (SSL)（现在技术上称为传输层安全协议 (TLS)）是一个通用构建块，用于在客户端与服务器之间进行...
Java入门系列11 -- Tomcat的下载，安装，启动，集成
服务器：是一种高性能的计算机，相对于普通的PC来说，服务器在稳定性，安全性，性能等方面有更高的要求； Tomcat...