Linuxサーバのセキュリティの強化
転載は明記してください:『2バイト』から中国語のインターネットと企業のソフトウェアに注目します
ハッカーは体力的な仕事が多い.
スキャナーを掛けて、無目的に防備なホストを探して、裏口を植え込んで、コントロールして、必要な人に売っています.
だから、いくつかの基本的な安全措置は目標になりやすいことを避けることができて、以下は少し紹介します.
rootリモートログイン禁止
デフォルトのシステム管理アカウントrootとして最も攻撃しやすいターゲットです.sshによるリモートログインを禁止することは絶対に必要です.
方法:
編集/etc/ssh/sshd_config
PermitRootLogin no
また、管理者の個人アカウントを作成し、sudoersユーザーグループに割り当ててください(デフォルトは%admin)
$ sudo adduser example_user
$ sudo usermod –a -G admin example_user
SSHDデフォルトポートの変更
リモートサービスSSHDのデフォルトポート22もポートスキャンの重点ターゲットであり、他のポート(通常1024以上)に変更すると、攻撃の大部分が回避される.
方法:
編集/etc/ssh/sshd_config
Port 8822 #default 22
FTPの代わりにSCPを使用
FTPは便利だが、安全性が指摘されている.
バックグラウンドファイル管理では、暗号化されたSCP方式でこの問題をよりよく解決できます.
SCPはSSHDのサービスを利用しているので、サーバに別途配置する必要はなく、アカウント権限を直接調整すればよい.
Windowsでは、ソフトウェアwinscpを使用してサーバに接続できます.
公式サイト:http://winscp.net
インストールdenyhosts
Denyhostは、セキュリティログを自動的に分析し、不審なホストの暴力的な解読を直接禁止することができます.
Debianユーザーはaptを直接使用してインストールできます
$ sudo apt-get install denyhosts
公式サイト:http://denyhosts.sourceforge.net/
ディレクトリとファイルの権限を慎重に制御し、ユーザー・グループを柔軟に使用
たとえば、モニタmuninがWebサイトのログにアクセスする必要がある場合は、ログファイルの権限設定を変更するのではなく、muninをwww-dataユーザーグループに追加します.
$ sudo usermod -a -G www-data munin
システムプログラムのための専用アカウントの使用
できるだけシステムプログラムごとに専用アカウントを使用し、rootを使用しないでください.
mysql、muninなど、sudo-u example_を活用userなどのコマンドは実行ユーザとユーザグループを切り替える
公式サイトからputtyをダウンロード
Puttyは非常に流行しているwindowsプラットフォームのリモートツールですが、簡単にダウンロードしないでください.
このような重要で無料のソフトウェアは、公式サイトからダウンロードし、完全性検査を行ったほうがいいです.
公式サイト:http://www.chiark.greenend.org.uk/~sgtatham/putty/
後記
お客様のWebサイトのセキュリティの向上に役立ちます.
転載は明記してください:『2バイト』から中国語のインターネットと企業のソフトウェアに注目します