禁止root遠端登入

 

作為預設系統管理帳號root是最容易攻擊的目標。禁止通過ssh遠端登入是絕對必須的。

 

方法:

 

編輯 /etc/ssh/sshd_config

 

PermitRootLogin no

 

同時,請為管理員建立個人帳戶,並分配到sudoers使用者組(預設為%admin)

 

$ sudo adduser example_user

 

$ sudo usermod –a -G admin example_user

 

修改SSHD預設埠

 

遠端服務SSHD的預設埠22也是埠掃描的重點目標,修改為其他埠(通常為1024以上)可避免大部分攻擊。

 

方法:

 

編輯 /etc/ssh/sshd_config

 

Port 8822 #default 22

 

使用SCP代替FTP



FTP雖然方便,但是安全性一直被詬病。

 

後臺檔管理時,用加密的SCP方式可以更好的解決這個問題。

 

SCP利用了SSHD的服務,所以不需要在伺服器另外配置,直接調整帳號許可權即可。

 

Windows下可以使用軟體winscp連接伺服器。

 

官方網站: HTTP://winscp.net
安裝denyhosts

 

Denyhost可以幫你自動分析安全性記錄檔,直接禁止可疑主機暴力破解。

 

Debian使用者可以直接使用apt安裝

 

$ sudo apt-get install denyhosts

 

官方網站: HTTP://denyhosts.sourceforge.net/
謹慎控制目錄和檔許可權,靈活使用使用者組

 

例如,如果監控程式munin需要訪問網站日誌,請不要修改日誌檔的許可權設置,而是將munin加入www-data使用者組

 

$ sudo usermod -a -G www-data munin

 

為系統程式使用專用帳號

 

儘量為每個系統程式使用專用帳號,避免使用root

 

如mysql, munin 等,靈活使用 sudo -u example_user 等命令切換執行使用者和使用者組
從官方網站下載putty

 

Putty是非常流行的windows平臺遠端工具,但不要貪圖方便隨意下載。

 

如此重要且免費的軟體,請從官方網站下載,並且最好進行完整性校驗。

 

官方網站:HTTP://www.chiark.greenend.org.uk/~sgtatham/putty/
創作者介紹
創作者 shadow 的頭像
shadow

資訊園

shadow 發表在 痞客邦 留言(0) 人氣()