Linux服務(wù)器加固的基本步驟詳解

作者：時(shí)間：2018-09-13 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

如果默認(rèn)情況下 netstat 沒有包含在你的 Linux 發(fā)行版中，請安裝軟件包 net-tools 或使用 ss -tulpn命令。

本文引用地址：http://www.antipu.com.cn/article/201809/389050.htm

以下是 netstat 的輸出示例。請注意，因?yàn)槟J(rèn)情況下不同發(fā)行版會(huì)運(yùn)行不同的服務(wù)，你的輸出將有所不同：

netstat 告訴我們服務(wù)正在運(yùn)行 RPC(rpc.statd 和 rpcbind)、SSH(sshd)、NTPdate(ntpd)和Exim(exim4)。

TCP

請參閱 netstat 輸出的 Local Address 那一列。進(jìn)程 rpcbind 正在偵聽 0.0.0.0:111 和 :::111，外部地址是 0.0.0.0:* 或者 :::* 。這意味著它從任何端口和任何網(wǎng)絡(luò)接口接受來自任何外部地址(IPv4 和 IPv6)上的其它 RPC 客戶端的傳入 TCP 連接。我們看到類似的 SSH，Exim 正在偵聽來自回環(huán)接口的流量，如所示的 127.0.0.1 地址。

UDP

UDP 套接字是無狀態(tài)的，這意味著它們只有打開或關(guān)閉，并且每個(gè)進(jìn)程的連接是獨(dú)立于前后發(fā)生的連接。這與 TCP 的連接狀態(tài)(例如 LISTEN、ESTABLISHED和 CLOSE_WAIT)形成對比。

我們的 netstat輸出說明 NTPdate ：1)接受服務(wù)器的公網(wǎng) IP 地址的傳入連接;2)通過本地主機(jī)進(jìn)行通信;3)接受來自外部的連接。這些連接是通過端口 123 進(jìn)行的，同時(shí)支持 IPv4 和 IPv6。我們還看到了 RPC 打開的更多的套接字。

查明該移除哪個(gè)服務(wù)

如果你在沒有啟用防火墻的情況下對服務(wù)器進(jìn)行基本的 TCP 和 UDP 的 nmap 掃描，那么在打開端口的結(jié)果中將出現(xiàn) SSH、RPC 和 NTPdate 。通過配置防火墻，你可以過濾掉這些端口，但 SSH 除外，因?yàn)樗仨氃试S你的傳入連接。但是，理想情況下，應(yīng)該禁用未使用的服務(wù)。

你可能主要通過 SSH 連接管理你的服務(wù)器，所以讓這個(gè)服務(wù)需要保留。如上所述，RSA 密鑰和 Fail2Ban 可以幫助你保護(hù) SSH。

NTP 是服務(wù)器計(jì)時(shí)所必需的，但有個(gè)替代 NTPdate 的方法。如果你喜歡不開放網(wǎng)絡(luò)端口的時(shí)間同步方法，并且你不需要納秒精度，那么你可能有興趣用 OpenNTPD 來代替 NTPdate。

然而，Exim 和 RPC 是不必要的，除非你有特定的用途，否則應(yīng)該刪除它們。

本節(jié)針對 Debian 8。默認(rèn)情況下，不同的 Linux 發(fā)行版具有不同的服務(wù)。如果你不確定某項(xiàng)服務(wù)的功能，請嘗試搜索互聯(lián)網(wǎng)以了解該功能是什么，然后再嘗試刪除或禁用它。

卸載監(jiān)聽的服務(wù)

如何移除包取決于發(fā)行版的包管理器：

Arch