Linux服务器安全加固10条建议

最近看到一个网友在问服务器上的数据库被留下了 “To recover your lost Database and avoid leaking it: Send us 0.05 Bitcoin (BTC) to our Bitcoin address 14yVUjTFesHAusWZ8qytA9faYmKfqEFpYv and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.” 可以看到这个网友的服务器显然是被入侵了，类似这位网友的问题也经常可以看到，遇到这样的问题应该如何处理呢？ 通常服务器被入侵后被动的解决是无效的这里要么按照留言付“比特币”给黑客要么只能认倒霉。 所以购买服务器前要提前加固好我们的服务器，本节就来介绍Linux服务器安全加固的10条建议。

以下是服务器安全加固的步骤，本文以腾讯云的CentOS7.7版本为例来介绍，如果你使用的是秘钥登录服务器1-5步骤可以跳过。

本节内容提供视频介绍，见B站视频地址：https://www.bilibili.com/video/BV16p4y197Uv

1) 设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng.51240.com/

echo "root:wgr1TDs2Mnx0XuAv" | chpasswd

2) 设置密码策略

修改文件/etc/login.defs

PASS_MAX_DAYS      90               密码最长有效期
PASS_MIN_DAYS      10               密码修改之间最小的天数
PASS_MIN_LEN       8                密码长度
PASS_WARN_AGE      7                口令失效前多少天开始通知用户修改密码

3) 对密码强度进行设置

编辑文件/etc/pam.d/password-auth

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

• difok= 定义新密码中必须要有几个字符和旧密码不同
• minlen=新密码的最小长度
• ucredit= 新密码中可以包含的大写字母的最大数目。-1 至少一个
• lcredit=新密码中可以包含的小写字母的最大数
• dcredit=定新密码中可以包含的数字的最大数目

注：这个密码强度的设定只对"普通用户"有限制作用，root用户无论修改自己的密码还是修改普通用户的时候，不符合强度设置依然可以设置成功

4) 对用户的登录次数进行限制

编辑文件 /etc/pam.d/sshd

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

多次输入密码失败后提示信息如下

图1

• pam_tally2 查看被锁定的用户
• pam_tally2 --reset -u username 将被锁定的用户解锁

图2

5. 禁止root用户远程登录

禁止ROOT用户远程登录 。打开 /etc/ssh/sshd_config

#PermitRootLogin   no 

注：生效要重启sshd进程。

6. 更改ssh端口

vim /etc/ssh/sshd_config ，更改Port或追加Port

注：生效要重启sshd进程。

7) 安全组关闭没必要的端口

腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，参考文档： https://cloud.tencent.com/document/product/215/20398

8)设置账户保存历史命令条数，超时时间

打开 /etc/profile ,修改如下

HISTSIZE=1000
TMOUT=600 

五分钟未动，服务器超时自动断开与客户端的链接。

9）定期查看查看系统日志

/var/log/messages

/var/log/secure

重要服务器可以将日志定向传输到指定服务器进行分析。

10） 定期备份数据

目录要有规划，并且有周期性的打包备份数据到指定的服务器。

应用程序 /data1/app/

程序日志 /data1/logs/

重要数据 /data1/data/

本文参考资源

1. Linux服务器加固：https://blog.csdn.net/qq_36119192/article/details/82906799

2. 更改SSH端口： https://blog.csdn.net/qq_41933709/article/details/90062931