为了最小化服务器被入侵的风险,您可以采取以下步骤,即关闭一些攻击者可能通过的潜在门户。
我要做的第一个更改是通过SSH禁用root登录。
您现在可以无密码地访问ubuntu帐户,并且可以通过sudo从该帐户运行管理员命令,因此实际上不需要公开root帐户。
要禁用root登录,需要编辑服务器上的/etc/ sshd_config文件。
您可能已经在服务器中安装了可以用来编辑文件的vi和nano文本编辑器。
您将需要在编辑器前面加上sudo前缀,因为常规用户无法访问SSH配置(例如sudo vi /etc/ sshshd_config)。
您需要在此文件中更改一行:
注意,要进行此更改,您需要定位以PermitRootLogin开头的行,并将值更改为no,无论服务器中是什么。
下一个更改在同一个文件中。
现在我将禁用所有帐户的密码登录。
您已经设置了一个无密码登录,所以根本不需要允许密码。
如果您对完全禁用密码感到紧张,您可以跳过这个更改,但是对于生产服务器来说,这是一个非常好的主意,因为攻击者不断地在所有服务器上尝试随机的帐户名称和密码,希望获得好运。
若要禁用密码登录,请在/etc/ssh/sshd_config中更改以下行:
在编辑完SSH配置后,需要重新启动服务,以便更改生效:
sudo service ssh restart
我要做的第三个改变是安装防火墙。这是一种软件,可以阻止未显式启用的任何端口对服务器的访问:
$ sudo apt-get install -y ufw
$ sudo ufw allow ssh
$ sudo ufw allow http
$ sudo ufw allow 443/tcp
$ sudo ufw --force enable
$ sudo ufw status
这些命令安装简单的防火墙ufw,并将其配置为仅允许端口22 (ssh)、80 (http)和443 (https)上的外部通信。任何其他端口将不被允许。
网友评论