碼上快樂

相關內容    簡體    繁體

安全防范:服務器連接及權限處理

本文轉載自   查看原文   2016-06-15 21:23   1558    安全

安全防范:服務器連接及權限處理

1. 概述

直接使用密碼去ssh登錄服務器,容易被黑客使用密碼字典暴力破解。所以開發人員要養成良好的安全習慣,從登錄服務器開始:

  • 禁用密碼登錄
  • 使用更安全的 ssh-key 登錄

TODO:后面會寫一些文章來介紹:如何使用字典進行ssh爆破的方法。來增強大家對於安全的意識,本文則重點寫防范措施。

2. 操作系統環境

  • Ubuntu 14.4 LTS

其它的 Linux 發行版,方法類似。

3. 禁用密碼而使用ssh-key

vim /etc/ssh/sshd_config

修改如下的幾行:

#啟用公鑰認證
PubkeyAuthentication        yes

#存儲授權公鑰的文件路徑
AuthorizedKeysFile          .ssh/authorized_keys

#禁止密碼登錄
PasswordAuthentication      no

然后重啟sshd

service sshd restart

4. 禁用root登錄

由於 root 用戶具有超級管理員權限,為了安全起見,盡量禁止使用root用戶進行操作。禁止root登錄,則繼續如下設置:

PermitRootLogin no

然后重啟sshd

service sshd restart

5. 使用ssh-key登錄

主要步驟如下:

  1. 客戶機上生成一組ssh-key的公鑰和私鑰
  2. 將公鑰復制到服務器指定用戶的.ssh/authorized_keys里面

然后客戶機即可實現無密碼登錄服務器。

6. 給普通用戶提權

在前面有一個操作:禁用root用戶登錄。那么對於一些系統命令,必須要root權限時該如何處理呢?這個時候就需要使用sudo來為普通用戶提權了,升級為管理員權限。

使用sudo對普通用戶提權的好處如下:

  • 如何讓普通用戶臨時擁有root權限
  • 操作時保留普通用戶的環境變量痕跡
  • 在出現異常時,查閱日志可以定位具體的用戶的具體行為

ubuntu中,查看文件etc/sudoers:

...

# User privilege specification
root    ALL=(ALL:ALL) ALL

...

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

...

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

從以上文件內容最后一句#includedir /etc/sudoers.d語句,不難看出,將用戶添加到sudo組有兩種方法:

  • /etc/sudoers插入配置語句
  • /etc/sudoers.d/添加配置文件

注意:#include前面的#並不是一般情況下bash語句下的注意,而是包含語法。之前筆者就自作聰明地去年了這個#號,導致一直無法正常配置。

一般情況下,建議使用第二種方法,添加配置文件的方式,這樣可以在物理文件層次上進行解耦,在權限配置上也更細致一些。

使用第二種方法:

  1. sudoers.d目錄下添加文件newsudoers
  2. newsudoers中添加配置內容mysudouser ALL=(ALL:ALL) ALL

如果要添加一個組到sudo組中,則添加如下配置內容:

#add xxxsudogrp to sudo 
mysudogrp ALL=(ALL:ALL) ALL

只要是屬於mysudogrp組的用戶都能提到root權限。

7. 總結

在目前雲主機越來越廣泛使用的今天,很多重要服務基本上都是放於公網雲端,那么這些安全問題都需要格外注意。如果不注意,則可能會出現如下問題:

  1. ssh密碼被暴力破解。大家可以以關鍵字搜索“200萬密碼字典,看自己的密碼有沒有位於其中。
  2. 被破解的用戶往往是root用戶。因為rootlinux的默認而且確定會有的用戶。
  3. 如果多個運維人員的登錄賬號沒有做區分,則即使由監控系統查出異常,定位問題的難度也是相當大。例如:監控系統查出root賬號在異地異常登錄,那么一共有5個開發人員,能從哪里排查呢?

綜上所述:養成良好的服務器使用習慣,是每個開發人員必備的基本素質。

 

作者: Harmo哈莫
作者介紹: https://zhengwh.github.io
技術博客: http://www.cnblogs.com/beer
Email: dreamzsm@gmail.com
QQ: 1295351490
時間: 2016-02
版權聲明: 歡迎以學習交流為目的讀者隨意轉載,但是請 【注明出處】
支持本文: 如果文章對您有啟發,可以點擊博客右下角的按鈕進行 【推薦】


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 CentOS服務器安全防護 Web網站服務器安全防護措施 web安全防范策略 簡單了解下阿里雲服務器的安全防護產品 PHPCMS v9 安全防范教程! 安全防范:nginx下git引發的隱私泄露問題 web安全防范之SQL注入攻擊、攻擊原理和防范措施 -- 服務器ssh連接不上處理辦法 站點的安全防范都是后端的職責?非也,Web前端安全同樣不可忽視 智能安防監控系統EasyCVR如何助力監獄安全防范邁向智能化?
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM