安全防范：服务器连接及权限处理

安全防范：服务器连接及权限处理

1. 概述

直接使用密码去ssh登录服务器，容易被黑客使用密码字典暴力破解。所以开发人员要养成良好的安全习惯，从登录服务器开始：

• 禁用密码登录
• 使用更安全的 ssh-key 登录

TODO：后面会写一些文章来介绍：如何使用字典进行ssh爆破的方法。来增强大家对于安全的意识，本文则重点写防范措施。

2. 操作系统环境

• Ubuntu 14.4 LTS

其它的 Linux 发行版，方法类似。

3. 禁用密码而使用ssh-key

vim /etc/ssh/sshd_config

修改如下的几行：

#启用公钥认证
PubkeyAuthentication        yes

#存储授权公钥的文件路径
AuthorizedKeysFile          .ssh/authorized_keys

#禁止密码登录
PasswordAuthentication      no  

然后重启sshd

service sshd restart

4. 禁用root登录

由于 root 用户具有超级管理员权限，为了安全起见，尽量禁止使用root用户进行操作。禁止root登录，则继续如下设置：

PermitRootLogin no

然后重启sshd

service sshd restart

5. 使用ssh-key登录

主要步骤如下：

1. 客户机上生成一组ssh-key的公钥和私钥
2. 将公钥复制到服务器指定用户的.ssh/authorized_keys里面

然后客户机即可实现无密码登录服务器。

6. 给普通用户提权

在前面有一个操作：禁用root用户登录。那么对于一些系统命令，必须要root权限时该如何处理呢？这个时候就需要使用sudo来为普通用户提权了，升级为管理员权限。

使用sudo对普通用户提权的好处如下：

• 如何让普通用户临时拥有root权限
• 操作时保留普通用户的环境变量痕迹
• 在出现异常时，查阅日志可以定位具体的用户的具体行为

在ubuntu中，查看文件etc/sudoers:

...

# User privilege specification
root    ALL=(ALL:ALL) ALL

...

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

...

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

从以上文件内容最后一句#includedir /etc/sudoers.d语句，不难看出，将用户添加到sudo组有两种方法：

• 向/etc/sudoers插入配置语句
• 向/etc/sudoers.d/添加配置文件

注意：#include前面的#并不是一般情况下bash语句下的注意，而是包含语法。之前笔者就自作聪明地去年了这个#号，导致一直无法正常配置。

一般情况下，建议使用第二种方法，添加配置文件的方式，这样可以在物理文件层次上进行解耦，在权限配置上也更细致一些。

使用第二种方法：

1. 在sudoers.d目录下添加文件newsudoers
2. 向newsudoers中添加配置内容mysudouser ALL=(ALL:ALL) ALL

如果要添加一个组到sudo组中，则添加如下配置内容：

#add xxxsudogrp to sudo 
mysudogrp ALL=(ALL:ALL) ALL

只要是属于mysudogrp组的用户都能提到root权限。

7. 总结

在目前云主机越来越广泛使用的今天，很多重要服务基本上都是放于公网云端，那么这些安全问题都需要格外注意。如果不注意，则可能会出现如下问题：

1. ssh密码被暴力破解。大家可以以关键字搜索“200万密码字典”，看自己的密码有没有位于其中。
2. 被破解的用户往往是root用户。因为root是linux的默认而且确定会有的用户。
3. 如果多个运维人员的登录账号没有做区分，则即使由监控系统查出异常，定位问题的难度也是相当大。例如：监控系统查出root账号在异地异常登录，那么一共有5个开发人员，能从哪里排查呢？

综上所述：养成良好的服务器使用习惯，是每个开发人员必备的基本素质。