【玩转腾讯云】Linux服务器安全加固10条建议原创

好，我们来介绍一下Linux服务器安全加固的十条建议。那最近看到一个网友，他反馈说他收到了一段这样的话，在他的服务器上，那其实翻译过来的话就是啊，黑客要求你联系这个邮箱地址，并支付0.05个比特币，那在支付的同时呢，联系邮箱的同时呢，要提供你的服务器的IP或者是域名地址，还有这个支付的证明，黑客也说了，这台服务器的数据库呢，已经被下载并备份到了它指定的服务器上，也是黑客指定的服务器上，如果在十天内没有收到这个付款信息的话，那黑客将会把这个数据库进行公开，或者用于其他的用途，那很显然这台服务器呢。这个网友的这台服务器呢，已经被黑客入侵了，那类似这样网友的问题呢，其实也比较常见，遇到这样的问题应该如何处理呢？那通常处理方式有两种，那一种方式的话是按照黑客的要求去支付这个指定的比特币，让黑客帮你去恢复这个数据，那另外一种方式呢，就是只能去认倒霉啊，所以我们在购买服务器前呢，要加固好我们的服务器，那这节课呢，就是来介绍如何加固你的服务器。

那我使用的是腾讯云的三头S7的版本来做介绍，那如果你使用的是密码的密钥的登录方式呢，其实是可以跳过一到五步的，那我当前的服务器呢，已经买好了哈，是一台santa s，同时已经登录到了这台服务器上，OK。那首先看我们看第一条，就是我们购买服务器后要设置一个复杂的密码，那什么是复杂密码呢？其实那密码就需要包含大写小写特殊字符和数字组成的12到16位的一个复杂的密码，那切记这里不要设置为123456，或者是生日或手机号这样一些弱密码，如果我们用户不知道如何去设置密码的话啊，这里推荐一个网站，那也就是这个网站，我可以跳到这个网站可以看到，这里可以帮你去生成一些随机的密码，这个密码呢，包含了大写小写和数字，如果你要需要特殊字符的话，也可以把这个位置挑上，那它会生成一个16位长度的一个密码，就是我现在点击生成OK，它就会生成一个随机的密码，我可以将这个密码了。复制出来。到我的服务器上PSWD啊回车复制粘贴粘贴啊，这样就修改成功了，那还有一种呃，修改密码的方式呢，是E啊将你的用户名和你的密码。

以啊管道的形式啊，输入给这个pass pass也会去设置你的密码。OK，我们来看下一个。设置密码的策略啊。那就是我们需要打开这个ETC下的log in这个文件。编辑一下这个文件。我们来来到这一行，那其实这一行呢，就是设置密码的一个规则，那其中第一条呢，是代表密码的一个有效期的长度，也就是我在多少天后这个密码就会失效，那么可以看到当前是99999，那是一排九，所以相当于是没有设置一样，因为它是设置了很长很长的一个时间，那第二个呢是零，其实也相当于没有设置，第三个呢是最小建议是八位密码的长度啊，那密码在超多长时间，超期的时候会提醒了默认七天，所以这里边我来修改那密码。要在90天后来更改，那最小更改时间呢，是十天，密码长的八位不用动密码的，呃，超时提醒周期是七天，也就是我密码最长是90天，超时那也是在第83天的时候，系统会提示你要去更改更新你的密码。

我保存。好，那当前这个密码的策略就已经设置好了，包含我们root和这个普通用户都会遵守这个密码的一个规则。紧接着我们往下看，来看一下密码的强度的设置，那什么是密码的强度呢？其实就是包含要求你的密码中必须包含数字或者是啊特殊字符，还有大写字母必须有多少个，那我可以编辑这个文件。那其实就是这句话。那其实我们可以看到当前系统呢，已经有一个默认策略，但是默认策略呢，写的并不是。十分的完整这个规则，那我可以将当前这条注释掉，并将我这条复制出来。大家可以看到我后边这句话在后边呢，有很多参数，参数有一有八，有负一，负一，负一什么意思呢？不同的参数，这里已经罗列了不同参数的一些含义，也就是说我们至少包含多少个大写字母，至少包含多少数字，那这个负一代表至少要一个，那要是至少两个就是负二。好，我保持把上面系统自带的这段话呢，我给注释掉，然后我将我自己这句话复制过来。

可以保存。OK，那当前我们再次设置密码的时候呢，就要以这个系统的规则来设置了，你的密码必须包含多少数字或者字母，但是这里边要有一个注意的事项啊，这条规则呢，这个密码的规则呢，它只能约束普通用户啊，对普通用户做限制，那对这个root用户是无法做限制的，这里边儿大家要注意。紧接着来看第四点，对用户登录的次数进行限制，什么是对用户登录的次数进行限制呢？这里边儿下面我做了一个演示，也就是我加上这句话以后，当这个用户啊，输入密码错呃错误次数超过三次以后，他就会被锁定一段时间啊，同时呢。会报这样一条错误啊，会报这样一条错误，那如何查看这个系统，呃，这个用户是否被锁定了，可以通过这个命令，PM这个命令啊，可以看到当前这个用户呢，在这个时间点，从这个IP登录上来有四次错误，所以将它锁定了，如何被将这个用户从锁定中删除呢？通过这条命令杠U呢是加这个用户名，OK，我编辑一下。

把这句话增加到O下边。也就是说错误三次以后，它就会被锁定一段时间，锁定一段时间。这是对用户的一个登录次数进行限限制。然后如何去禁止用户登root用户登录呢？就是说禁止我的管理员用户登录，同时编是编辑这个文件。这个保存退出。编辑这个文件，我们找到这个提示。Permanent route log in。大家可以看到当前是一个注释的状态哈，我们可以把注释去掉，并改为no。

OK，保存OK，这里边要注意点哈，这条语句在设置完以后呢，其实很多文件在设置完以后呢，我们要重启守护进程才会生效。到重启一下守护进程。如何重启守护进程？SHD。OK，我重启完以后呢，我再次通过我的终端。可以看一下啊。我刚刚是这个密码对吧。我复制一下，我在这里粘贴，你会发现登录不了。说明什么？说明已经这个用root用户已经是被限制了，OK，已经被限制了。那已经登录呢，是不不会匹配刚刚那个规则的。那我们加加上这个规则以后呢，只会对刚登录的用户root用户生效。紧接着看一下如何去更改你的SSH端口，因为很多黑客攻击你的时候呢，它是知道你大概能扫到你的服务器，Linux服务器是以R为登录端口，那扫到你二说明你是linus服务器，那Windows呢是3389，扫到389可以登录的话，代表你的服务器可能是Windows啊，所以呢，我们这里要提前更改这个端口号来迷惑黑客。

我编辑这个文件可以看到。呃，在第。17行。用一个pot。我可以在原po的基础上再加一个36000。326大家可以看到当前有一个二端口，又有一个三万六端口，也是同时启动两个端口保存退出，我ne-TL可以看当前只有R2启动。OK，我重启下以后呢。再次查看。可以看到当前的服务器呢，有两个端口都在监听中，我可以从二二端口登录，也同时可以从3600端口登录，那这里建议呢，大家将这个二二端口给关闭掉啊关闭掉。OK，那这是更改SSH端口，那第七个呢是关闭。没有用的端口啊，没有用的端口，那也是找到我的服务器，那我当前的这这台服务器的。通过it是自我可以点击实例名找到这个安全组。

这入账规则，我点击入账规则。我可以将添加一些规则，只满足本来原IP是码的，是什么协议的允许，那其他协议呢，都给禁止掉，那也是编辑这个默认协议是0.0.0反斜杠零代表所有的原所有的协议当前是一个什么状态，是允许的状态，我要更改为禁禁止的一个状态。更改成拒绝，但是前提呢，我要使我当前的服务器的IP连接，我的SSH端口是可以放行的，如果我直接这样保存，我这个就会中断，那这里大家大家来注意一下，我这里就不做演示，那这里边儿啊，我们可以看到这里有一些教程是教我们如何来使用安全组的啊，大家可以看一下。那我们继续第八个呢，是设置账户，保存历史命令的条数和超时时间，那主要用于什么呢？我们可以登录到服务器上执行history啊，可以看到。

我刚刚这个用户登录上来是什么时间点登录上来的，都执行了哪些命令，主要用于被黑客攻击来回溯这个黑客攻击的一个过程，可以看到黑客都执行了哪些命令，看了哪些文件，下载了哪些东西，所以呢，这里建议呢，把这个history啊，这个命令的保留条数啊放的更多一些，比如说放置为1000条。啊，Came out是什么意思呢？Came out也是说我当前的服务器在连接远程的这个终端，那我如果五分钟一动不动的话，也就是我没有啊执行一些发送一些命令给远程服务器的话，远程服务器就会断开这个连接啊，就会断开这个连接，那怎么加这个这个限制呢。编辑ETC下了。Pro。Profile。这个文件。这句话。这两句话加入到我们的这个文件的最下边。OK就可以了。就可以了，加完以后呢，我用S执行一下啊，比如说加载一下当前的环境。

下载一下当前的环境。呃，第九个呢，是定期来查看系统的日志，包含message和。Message呢是我们可以看一下message包含了系统中的所有的程序的一些日志都会发送到这，包含了哪个程序启动了，对吧，哪个程序重启过。等等，那呢是包含了当前的一些。登录信息，哪个用户从哪登录到了服务器上，当前这个服务器监听的端口是什么样的，包含了这两项信息，那我们要定期的查看这两个日志，来看一下是否有一些异常的用户的行为登录我们的服务器，那说明可能我们的服务器有可能被正在被黑客盯上。要提前做预防。那最后一个的话，就是要合理规划我们的服务器的一个目录，并且周期性的打包重要的数据备份到指定的服务器上啊，那这里边我来举的一个实例哈，我们可以看到我的应用程序呢，一般放在data一下的APP目录中，程序日志呢，放在data一下的log目录中，然后重要的数据呢，也是用户产生的数据呢，放到data一下的data目录中，那我们会定期的来备份这个data目录啊，并把这个重要数据发送到远程服务器，定期的来备份一份，防止我们服务器被黑客攻击，或者是服务器异常硬件故障，导致我们的数据的一个损损失。

当然当然，我现在用的都是这个云服务器，呃，硬件故障导致我们呃日志损失，呃，重要数据损失的情况比较少，主要可能是黑客登录到你的服务器上来，去破坏你的数据，或者是删除你的数据，那这种情况我们就要把这个数据呢，定期的备份到指定的远程的服务器上。OK，那这节课大概的内容就是这些啊，如果你喜欢这个视频，也欢迎点赞评论加关注，谢谢观看。