很少有人会立即为新安装的服务器设置保护，但我们生活♂的世界使它成为必需品。那么为什么这么多人要等到最后才设置▲保护呢？我也做过同样的事情，通常归结为想要直接去做有趣的事情。希望本文向您展示了保护服务器比▂您想象的要容易得多，并且当攻击开始时从堡垒往下看会很有趣。

这篇文章是＠为 12.04.2 LTS 写的，但是你可以在其他 Linux 发行版上做类似的事情。

我从哪里开始？

如果服务器已经有公共 IP，您将需要立ξ　即锁定 root 访问权限。实际上，您需要完全锁定 SSH 访问权限，以便只有您可以进入。添加一个♀新用户并将这个新用户添加到一个管理组（在 /etc/ 中预先设置了 sudo 访问权限）。

## 添加用户组 admin（译者注）
$ sudo addgroup admin
Adding group 'admin' (GID 1001)
Done.
## 添加用户 spenserj（译者注）
$ sudo adduser spenserj
Adding user `spenserj' ...
Adding new group `spenserj' (1002) ...
Adding new user `spenserj' (1001) with group `spenserj' ...
Creating home directory `/home/spenserj' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for spenserj
Enter the new value, or press ENTER for the default
    Full Name []: Spenser Jones
    Room Number []:
    Work Phone []:
    Home Phone []:
    Other []:
Is the information correct? [Y/n] y
## 追加用户 spenserj 到用户组 admin 中（译者注）
$ sudo usermod -a -G admin spenserj

您还需要◢在您的计算机上创建一个私钥并在服务器上禁用密码验证。

（公钥也要加到服务器.sshd文件中，详见文末参考链接第三∮步。译者注）

## 本地主机用户主目录下新建 .ssh 文件，并将公钥追加到 authorized_keys（译者注）
$ mkdir ~/.ssh
$ echo "ssh-rsa [your public key]" > ~/.ssh/authorized_keys
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication no
AllowUsers spenserj

重新加载 SSH 以应用更改，然后尝试登录新会话以确保一切正常。如果您无法登▃录，您仍然可以使用原始会话来解决问题。

## 重启 ssh（译者注）
$ sudo service ssh restart
ssh stop/waiting
ssh start/running, process 1599

更新服务器

现在只有你可╱以访问服务器服务器运维，不用担心黑客潜入，又可以正常呼吸了。您的服务器很可能有一些更新，所以现在开始运行它们。

## 服务器更新（译者注）
$ sudo apt-get update
...
Hit http://ca.archive.ubuntu.com precise-updates/universe Translation-en_CA
Hit http://ca.archive.ubuntu.com precise-updates/universe Translation-en
Hit http://ca.archive.ubuntu.com precise-backports/main Translation-en
Hit http://ca.archive.ubuntu.com precise-backports/multiverse Translation-en
Hit http://ca.archive.ubuntu.com precise-backports/restricted Translation-en
Hit http://ca.archive.ubuntu.com precise-backports/universe Translation-en
Fetched 3,285 kB in 5s (573 kB/s)
Reading package lists... Done
## 服务器升级（译者注）
$ sudo apt-get upgrade
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  linux-headers-generic-lts-quantal linux-image-generic-lts-quantal
The following packages will be upgraded:
  accountsservice apport apt apt-transport-https apt-utils aptitude bash ...
73 upgraded, 0 newly installed, 0 to remove and 2 not upgraded.
Need to get 61.0 MB of archives.
After this operation, 151 kB of additional disk space will be used.
Do you want to continue [Y/n]? Y
...
Setting up libisc83 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up libdns81 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up libisccc80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up libisccfg82 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up libbind9-80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up liblwres80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up bind9-host (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up dnsutils (1:9.8.1.dfsg.P1-4ubuntu0.6) ...
Setting up iptables (1.4.12-1ubuntu5) ...
...

安∏装防火墙

现在正在运行最新的软件？这很好。继续构建防火墙，只允许你现在需要的东西。您可↘以在之后添加一个例外，几分钟的额外工作不会让您崩溃。它是预装在的，所以先给它设置一些规则。

$ sudo mkdir /etc/iptables
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# Accept any related or established connections
-I INPUT  1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Allow all traffic on the loopback interface
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# Allow outbound DHCP request - Some hosts (Linode) automatically assign the primary IP
#-A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
# Outbound DNS lookups
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
# Outbound PING requests
-A OUTPUT -p icmp -j ACCEPT
# Outbound Network Time Protocol (NTP) request
-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT
# SSH
-A INPUT  -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
# Outbound HTTP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
COMMIT

通过 -apply 应用超时规〓则集，如果连接丢失，请修复规则并在继续之前重试。

$ sudo iptables-apply /etc/iptables/rules
Applying new ruleset... done.
Can you establish NEW connections to the machine? (y/N) y
... then my job is done. See you next time.

使用以下内容创建文件 /etc//if-pre-up.d/。这将在启动服务器时自动加载规则。

#!/bin/sh
iptables-restore < /etc/iptables/rules

现在给它执行权限并执行文件以确保它正确加载。

$ sudo chmod +x /etc/network/if-pre-up.d/iptables
$ sudo /etc/network/if-pre-up.d/iptables

想当黑↑客的人

在安全性方面我最喜欢的工具之一，因为它会监控您的日志文件并暂时禁止滥用资源的用户々，例如强制 SSH 连接或破坏您的网络服务器。

## 安装 fail2ban（译者注）
$ sudo apt-get install fail2ban
[sudo] password for sjones:
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  gamin libgamin0 python-central python-gamin python-support whois
Suggested packages:
  mailx
The following NEW packages will be installed:
  fail2ban gamin libgamin0 python-central python-gamin python-support whois
0 upgraded, 7 newly installed, 0 to remove and 2 not upgraded.
Need to get 254 kB of archives.
After this operation, 1,381 kB of additional disk space will be used.
Do you want to continue [Y/n]? y
...

安∞装了默认配置（/etc//jail.conf），但我们想在 /etc//jail.local 中进行更改，所以将其复制到那卐里。

## 拷贝配置（译者注）
sudo cp /etc/fail2ban/jail.{conf,local}

配置

将线路更改为您的 IP 并决定阻止多长时间（默认为 10 分钟）。您还需要设◆置一个，我通常将其设置为我的电子邮件地址并输入@.de。 .de 是一个跟踪并自动报告↙黑客试图滥用其连接的 IP 的系统。

[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
bantime  = 600
maxretry = 3
# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = auto
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost,fail2ban@blocklist.de

虽然默认设置就足够了，但还有一⌒些其他设置需要检查，因此请快速查看该部分的文件。

允许您对恶意活动做出反应，但默√认为禁止，我们希望它〖禁止并发送电子邮件。幸运的是服务器运维，有一个预配置的可以完成这项工作。

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s

监狱

为了让它发挥作★用，它需要知道该看什么。这是在配置的 Jails 部分中配∞置的，有许多实例被预加载和禁用。由于到目前为止您只启用①了 SSH 访问，我们将只启用 SSH 和 SSH-DDoS 监狱，但您需要为安装在该服务器上的每个可公开访问的服☉务添加一个新的监狱。

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6
[ssh-ddos]
enabled  = true
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

应用更改

现在我们已经配置好了，您将重新加载它并确保它向其中添加了Ψ适当的规则。

$ sudo service fail2ban restart
 * Restarting authentication failure monitor fail2ban
   ...done.
$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
...
Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

您可以随时使用 sudo -L 列出您∴的规则，然后是当前禁止 IP 的列表。目前正在处理两个恶意IP：

DROP       all  --  204.50.33.22         anywhere
DROP       all  --  195.128.126.114      anywhere

控制世界

现在您▓的服务器已锁定并准备就绪，这并不是您安全之旅的终点。密切关注更新（首先在非生产环境中进∩行测试），始终①关闭不需要的端口，定期检查日志，并了解服务器内外发生的情况。

跟踪

有一些很好的№评论，如果您对不同的视角和更高的安全性感兴趣，我建议您阅读它们。本文旨在作为初学者的安全指南，结束本文并不ζ意味着您的服务器是无懈可〖击的。使用本指南快速锁定新服务器并根据您的独特情况在其上进行构建。您可能ω　想探索 IPV6 安全性、更改 SSH 端口（通过隐藏）、内核安全性（和 ）、跟踪系统更改并进行全面审核（如卐果您的服务器曾经不安全，或者已经在线很长时间）。服务○器有数百个入口点，您安装的每个应用程序都可能引入另一个漏洞，但使用正确的工具【，您可以放心上床。

参考链接：阮一峰Linux服务器的初步配置过程