五招让你的Ubuntu 16.04更安全

Posted Linux就该这么学

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了五招让你的Ubuntu 16.04更安全相关的知识,希望对你有一定的参考价值。

如果想让Ubuntu服务器的安全性能上升一个层次的话,请仔细阅读下面的5招。
Ubuntu 16.04的安装相对简单,安装之后,你将享受Linux带来的安全性。实际上为了提高数据的安全性,你还可以做的更多,下面的5招将给你带来不错的安全收益。

五招让你的Ubuntu 16.04更安全

1.确保共享内存的安全

黑客攻击总会想查看共享内存,所以保证共享内存的安全的重要性不言而喻。可以修改 /etc/fstab文件来确保共享内存的安全。
首先,使用终端命令打开文件

sudo nano /etc/fstab

然后,文件的底部加入如下代码

tmpfs /run/shm tmpfs defaults,noexec,nosuid 0 0

保存,关闭文件。为了使改变生效,需要重启Ubuntu 16.04.

2.允许特定用户的ssh登录

sudo nano /etc/ssh/sshd_config

3.在文件最下面,添加AllowUsers olivia@192.168.1.152
4.保存,关闭文件
5.使用命令重启sshd

sudo service ssh restart

AllowUsers *@192.168.1.*

重启ssh服务器,就生效了。

3.添加一个安全登录banner

添加一个安全登录bannner似乎对你的服务器安全没有什么作用,但是假如有人获得访问你服务器的权限后,看到了banner上的警告信息,可能会思考再三要不要继续下去。虽然这是一种心里作用,但是也不要小瞧了它。
创建一个新的banner步骤如下:
1.打开终端窗口
2.执行命令

sudo nano /etc/issue.net

3.添加合适的警告信息
4.关闭,保存文件
接下来,我们要禁止motd显示banner。首先打开终端输入如下命令

sudo nano /etc/pam.d/sshd

加入下面两行(每行前加#)

session optional pam_motd.so motd=/run/motd.dynamic  
session optional pam_motd.so noupdate

在文本编辑器里打开 /etc/ssh/sshd_config文件,加入

Banner /etc/issue.net

关闭,保存文件
最后,使用命令重启ssh服务器

sudo service ssh restart

这时,假如有人通过ssh登录你的服务器,他们就会看到你新加的banner,警告他们你在留意。

4.增强网络层

sudo nano /etc/sysctl.conf

然后添加如下内容

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0  
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0  
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

关闭,保存文件,使用如下命令重启。

sudo sysctl -p

5.避免IP地址欺骗

# The "order" line is only used by old versions of the C library.
order hosts,bind
multi on

更改这个文件为:

# The "order" line is only used by old versions of the C library.
order bind,hosts
nospoof on

结束语:

我们只是从较浅的角度增强你的Ubuntu 16.04,但是这5招能显著提高服务器的安全性。后续我们会继续关注这一话题,带来更安全的Ubuntu平台安全攻略。

让您学习到的每一节课都有所收获

《Linux就该这么学》是一本由资深运维专家刘遄老师及国内多名红帽架构师(RHCA)基于最新RHEL7系统共同编写的高质量Linux技术自学教程,极其适合用于Linux技术入门教程或讲课辅助教材。荣获双11、双12购物狂欢节IT品类书籍销量冠军,2017年、2018年国内读者增速最快的技术书籍,您可以在京东、当当、亚马逊及天猫搜索书名后购买,亦可加刘遄老师微信交流学习(手指按住下图3秒钟即可自动扫描)~

刘遄老师QQ:5604583

☀ Linux技术交流群:1653851(新群,火热加群中……

☀ 官方站点:www.linuxprobe.com

☀ 书籍在线学习(电脑在线阅读效果更佳

http://www.linuxprobe.com/chapter-00.html


《Linux就该这么学》是一本基于最新Linux系统编写,面向零基础读者的技术书籍。从Linux基础知识讲起,然后渐进式地提高内容难度,详细讲解Linux系统中各种服务的工作原理和配置方式,以匹配真实生产环境对运维人员的要求,突显内容的实用性。想要学习Linux系统的读者可以点击"阅读原文"按钮了解这本书,同时这本书也适合专业的运维人员阅读,作为一本非常有参考价值的工具书!

以上是关于五招让你的Ubuntu 16.04更安全的主要内容,如果未能解决你的问题,请参考以下文章

[第18期] Vue.js最佳实践(五招让你成为Vue.js大师)

Vue.js最佳实践(五招让你成为Vue.js大师)

转载 丨 Vue.js最佳实践(五招让你成为Vue.js大师)

让你的Ubuntu更易用

太赞了!只要这五招就可以让Python代码这么优雅!

9 招让你的GitHub下载飞速提升到2M/s以上