每天都有数以千计的新网站诞生,这些网站大多使用linux作为服务器,一方面linux是免费的,需要的资源少,而且比较稳定。一方面是因为linux对服务器的保护更高。但是如果我们错误地使用linux,也是非常容易被攻击的。下面我们将介绍如何更好地配置我们的服务器,使其更加安全。创建一个新用户而不是使用root帐户。我们在使用windows的时候,习惯使用管理员账号,因为它的权限是最高的,操作和修改配置都非常方便。但是,对于服务器,尤其是linux服务器,我们不建议直接使用root用户登录,因为它的权限太大,可以为所欲为,包括对操作系统本身的破坏,所以我们最好新建一个user,然后禁用root账号的ssh登录,当我们想要一些root管理权限的时候,可以使用sudo来授权。我们在创建密码的时候需要注意不要使用简单的密码,不要使用复杂的密码,更不要使用明文来记录我们的密码。我们应该使用密码管理器来保存我们的密码。修改用户权限,不要给太多权限我们的服务器有时可能需要多人登录,我们最好给每个用户设置权限,不要让他读取别人的文件。然后我们就可以通过设置umask来设置了。当我们执行UMASK077命令后新建一个用户时,其权限为rxx------,没有权限访问其他用户目录。关闭不需要的端口默认情况下,我们的22端口是开放的,但是我们最好将其修改为其他的,这样可以大概率的防止其他用户非法访问。其他如80、443等端口是网站需要使用的端口。我们应该打开它们。如果不需要其他端口,我们最好将其全部关闭,这样可以大大降低服务器被攻击的概率。对于一些软件,比如redis、mongo等,也最好不要使用默认端口,最好修改成其他端口。加密隐私文件对于一些敏感文件,我们需要对其进行加密,这样即使其他用户获取了它,也无法查看到它的正确内容。我们可以通过gpg对其进行加密。禁用用户名和密码登录在使用ssh登录时,除了使用用户名和密码登录外,我们还可以使用秘钥登录。这也是非常推荐的一种方式。我们只需要通过ssh-keygen创建公钥和私钥,然后将公钥复制到本机,就可以在本地免密码登录服务器了。打开日志记录和审计日志我们应该打开我们的日志记录并时常检查我们的日志。比如一些非法登录,一些非法访问,都有日志记录。对于一些非法ip攻击,我们可以在日志中进行。请参见获取。禁用不需要的服务默认情况下,Linux为我们提供了很多服务,有些服务我们不需要,我们可以禁用它们,这样不仅可以节省服务器资源,还可以防止一些服务受到攻击。避免使用ftp、telnet、rsh等。虽然FTP和telnet仍在大量使用,但rsh和rlogin是遗留程序/服务。应该避免使用它们。这些是纯文本协议,您网络上的任何人都可以嗅探您的流量以读取纯文本数据流量。更推荐使用OpenSSH、SFTP或FTPS(FTPoverSSL)来加密数据通信。由于FTP以明文形式发送数据,敏感文件无法通过它发送。始终建议使用SSH对具有公钥和私钥的对象进行访问和转发敏感信息。
