电子产品世界

-经常升级系统00%

-自动安全更新02%

-添加一个受限用户账户07%

-CentOS / Fedora11%

-Ubuntu13%

-Debian15%

-加固 SSH 访问21%

-创建验证密钥对23%

-SSH 守护进程选项43%

-使用 Fail2Ban 保护 SSH 登录54%

-删除未使用的面向网络的服务58%

-查明运行的服务59%

-查明该移除哪个服务80%

-卸载监听的服务87%

-配置防火墙90%

-接下来95%

现在让我们强化你的服务器以防止未授权访问。

经常升级系统

将软件更新到最新版本通常是任何操作系统所必需的安全预防措施。软件在更新时通常会在大到关键漏洞补丁、小到bug修复的范围内进行，很多漏洞实际上在被公布时就已经被修复了。

自动安全更新

你可以调节服务器关于自动更新的的参数。Fedora 的 Wiki页面上有一篇文章对自动更新进行了深入解读，文章里提到我们可以通过调整参数为安全更新会把自动更新的风险降低至最少。

当然，是否选择自动更新必须由你自己决定，因为这取决于你将要在你的服务器上进行何种工作。自动更新只能通过仓库里的包才能进行，你自己编译的程序可不能用。你会需要一个与生产环境一致的测试环境，在进行最终部署之前，一定要在测试环境确认无误才行。

CentOS 使用 yum-cron 进行自动更新。

Debian 和 Ubuntu 使用 无人值守更新。

Fedora 使用 dnf-automatic 。

添加一个受限用户账户

我们假定你已经使用 root 权限进入了服务器中，你此时拥有服务器的至高权限，一个不小心就会把服务器搞瘫痪。所以，你应该有一个受限制账户而不是一直使用 root 账户。这不会给你的操作带来多大麻烦，因为你可以通过 sudo来进行任何你想要的操作。

有的发行版可能并不把 sudo设为默认选项，不过你还是可以在软件包仓库中找到。如果你获得的提示是 sudo：command not found，请在继续之前安装 sudo。

记住，添加新用户你要通过 SSH 登录服务器才行。

CentOS / Fedora

1、 创建用户，用你想要的名字替换 example_user，并分配一个密码：

2、 将用户添加到具有 sudo 权限的 wheel 组：

Ubuntu

1、 创建用户，用你想要的名字替换 example_user。你将被要求输入用户密码：

2、 添加用户到 sudo 组，这样你就有管理员权限了：

Debian

1、 Debian 默认的包中没有 sudo， 使用 apt-get 来安装：

2、 创建用户，用你想要的名字替换 example_user。你将被要求输入用户密码：

3、 添加用户到 sudo 组，这样你就有管理员权限了：

创建完有限权限的用户后，断开你的服务器连接：

重新用你的新用户登录。用你的用户名代替 example_user，用你的服务器 IP 地址代替例子中的 IP 地址：

现在你可以用你的新用户帐户管理你的服务器，而不是 root。 几乎所有超级用户命令都可以用 sudo(例如：sudo iptables -L -nv)来执行，这些命令将被记录到 /var/log/auth.log中。

加固 SSH 访问

你可以使用密码认证登录服务器。但是更安全的方法是通过加密的密钥对。你将彻底放弃密码，用私钥可以防止暴力破解。我们将告诉你如何创建密钥对。

创建验证密钥对

1、创建密钥对可以在你自己的电脑上完成，现在我们开始创建一个 4096 位的 RSA 密钥对。即使有了密钥，你仍然可以通过密码方式加密你的私钥，这样除非你把密码存在密钥管理器里，不然就必须通过输入正确的密码使用你的私钥。用了密码能有一个双重保险，不想用的话你直接把密码字段留空就可以了。

Linux / OS X

现在我们开始第一步，请注意：如果你之前已经创建过 RSA 密钥对，则这个命令将会覆盖它，带来的结果很可能是你不能访问其它的操作系统。如果你已创建过密钥对，请跳过此步骤。要检查现有的密钥，请运行 ls/ .ssh / id_rsa *。

1 2 3

关键词： Linux 服务器 详解

阅读全文