Linux服务器基本安全配置总结

我们在搭建Linux服务器的时候有很多事情需要注意，其中一个安全的配置表是一个服务器的搭建者和维护者最需要掌握的东西。在本文中你会看到一份完整的Linux服务器安全搭建手册假如你想要搭建一个Linux服务器，并且希望可以长期维护的话，就需要考虑安全性能与速度等众多因素。一份正确的linux基本安全配置手册就显得格外重要。

在日常运维工作中，对加固服务器的安全设置是一个机器重要的环境。比较推荐的做法是：

1）严格限制ssh登陆（参考：Linux系统下的ssh使用(依据个人经验总结)）：

修改ssh默认监听端口 禁用root登陆，单独设置用于ssh登陆的账号或组；

禁用密码登陆，采用证书登陆；

ListenAddress绑定本机内网ip，即只能ssh连接本机的内网ip进行登陆；

2）对登陆的ip做白名单限制（iptables、/etc/hosts.allow、/etc/hosts.deny）

3）可以专门找两台机器作为堡垒机，其他机器做白名单后只能通过堡垒机登陆，将机房服务器的登陆进去的口子收紧；

另外，将上面限制ssh的做法用在堡垒机上，并且最好设置登陆后的二次验证环境（Google-Authenticator身份验证）

4）严格的sudo权限控制（参考：linux系统下的权限知识梳理）

5）使用chattr命令锁定服务器上重要信息文件，如/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等6）禁ping（echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all）

今天这里主要说下服务器安全登陆的白名单设置，通过下面两种方法：

1）iptables对ssh端口做限制；

2）/etc/hosts.allow和/etc/hosts.deny限制；这两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。如果当iptables、hosts.allow和hosts.deny三者都设置时或设置出现冲突时，遵循的优先级是hosts.allow > hosts.deny >iptables