Linuxサーバのセキュリティの強化



転載は明記してください:『2バイト』から中国語のインターネットと企業のソフトウェアに注目します
ハッカーは体力的な仕事が多い.
スキャナーを掛けて、無目的に防備なホストを探して、裏口を植え込んで、コントロールして、必要な人に売っています.
だから、いくつかの基本的な安全措置は目標になりやすいことを避けることができて、以下は少し紹介します.

rootリモートログイン禁止


デフォルトのシステム管理アカウントrootとして最も攻撃しやすいターゲットです.sshによるリモートログインを禁止することは絶対に必要です.
方法:
編集/etc/ssh/sshd_config
PermitRootLogin no 

また、管理者の個人アカウントを作成し、sudoersユーザーグループに割り当ててください(デフォルトは%admin)
$ sudo adduser example_user 
$ sudo usermod –a -G admin example_user 

SSHDデフォルトポートの変更


リモートサービスSSHDのデフォルトポート22もポートスキャンの重点ターゲットであり、他のポート(通常1024以上)に変更すると、攻撃の大部分が回避される.
方法:
編集/etc/ssh/sshd_config
Port 8822 #default 22 

FTPの代わりにSCPを使用


FTPは便利だが、安全性が指摘されている.
バックグラウンドファイル管理では、暗号化されたSCP方式でこの問題をよりよく解決できます.
SCPはSSHDのサービスを利用しているので、サーバに別途配置する必要はなく、アカウント権限を直接調整すればよい.
Windowsでは、ソフトウェアwinscpを使用してサーバに接続できます.
公式サイト:http://winscp.net

インストールdenyhosts


Denyhostは、セキュリティログを自動的に分析し、不審なホストの暴力的な解読を直接禁止することができます.
Debianユーザーはaptを直接使用してインストールできます
$ sudo apt-get install denyhosts 

公式サイト:http://denyhosts.sourceforge.net/

ディレクトリとファイルの権限を慎重に制御し、ユーザー・グループを柔軟に使用


たとえば、モニタmuninがWebサイトのログにアクセスする必要がある場合は、ログファイルの権限設定を変更するのではなく、muninをwww-dataユーザーグループに追加します.
$ sudo usermod -a -G www-data munin 

システムプログラムのための専用アカウントの使用


できるだけシステムプログラムごとに専用アカウントを使用し、rootを使用しないでください.
mysql、muninなど、sudo-u example_を活用userなどのコマンドは実行ユーザとユーザグループを切り替える

公式サイトからputtyをダウンロード


Puttyは非常に流行しているwindowsプラットフォームのリモートツールですが、簡単にダウンロードしないでください.
このような重要で無料のソフトウェアは、公式サイトからダウンロードし、完全性検査を行ったほうがいいです.
公式サイト:http://www.chiark.greenend.org.uk/~sgtatham/putty/

後記


お客様のWebサイトのセキュリティの向上に役立ちます.
転載は明記してください:『2バイト』から中国語のインターネットと企業のソフトウェアに注目します