1. 如何構建安全的遠程登錄伺服器(上)
這個文件的每一行包含「關鍵詞-值」的匹配,其中「關鍵詞」是忽略大小寫的。下面列出來的是最重要的關鍵詞,用man命令查看幫助頁(sshd (8))可以得到詳細的列表。編輯「sshd_config」文件(vi /etc/ssh/sshd_config),加入或改變下面的參數: 下面逐行說明上面的選項設置: Port 22 :「Port」設置sshd監聽的埠號。 ListenAddress 192.168.1.1 :「ListenAddress」設置sshd伺服器綁定的IP地址。 HostKey /etc/ssh/ssh_host_key :「HostKey」設置包含計算機私人密匙的文件。 ServerKeyBits 1024:「ServerKeyBits」定義伺服器密匙的位數。 LoginGraceTime 600 :「LoginGraceTime」設置如果用戶不能成功登錄,在切斷連接之前伺服器需要等待的時間(以秒為單位)。 KeyRegenerationInterval 3600 :「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。 PermitRootLogin no :「PermitRootLogin」設置root能不能用ssh登錄。這個選項盡量不要設成「yes」。 IgnoreRhosts yes :「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。 IgnoreUserKnownHosts yes :「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」 StrictModes yes :「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的,因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。 X11Forwarding no :「X11Forwarding」設置是否允許X11轉發。 PrintMotd yes :「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。 SyslogFacility AUTH :「SyslogFacility」設置在記錄來自sshd的消息的時候,是否給出「facility code」。 LogLevel INFO :「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。 RhostsAuthentication no :「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。 RhostsRSAAuthentication no :「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。 RSAAuthentication yes :「RSAAuthentication」設置是否允許只有RSA安全驗證。 PasswordAuthentication yes :「PasswordAuthentication」設置是否允許口令驗證。 PermitEmptyPasswords no:「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。 AllowUsers admin :「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字元串用空格隔開。主機名可以是DNS名或IP地址。 /etc/ssh/ssh_config 配置「/etc/ssh/ssh_config」文件是OpenSSH系統范圍的配置文件,允許你通過設置不同的選項來改變客戶端程序的運行方式。這個文件的每一行包含「關鍵詞-值」的匹配,其中「關鍵詞」是忽略大小寫的。 下面列出來的是最重要的關鍵詞,用man命令查看幫助頁(ssh (1))可以得到詳細的列表。 編輯「ssh_config」文件(vi /etc/ssh/ssh_config),添加或改變下面的參數: 下面逐行說明上面的選項設置: Host * :選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。 ForwardAgent no :「ForwardAgent」設置連接是否經過驗證代理(如果存在)轉發給遠程計算機。 ForwardX11 no :「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)。 RhostsAuthentication no :「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。 RhostsRSAAuthentication no :「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。 RSAAuthentication yes :RSAAuthentication」設置是否使用RSA演算法進行安全驗證。 PasswordAuthentication yes :「PasswordAuthentication」設置是否使用口令驗證。 FallBackToRsh no:「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。 UseRsh no :「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。 BatchMode no :「BatchMode」如果設為「yes」,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用。 CheckHostIP yes :「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。
2. 如何安全登陸企業Windows伺服器
1)、禁用Guest賬號在計算機管理的用戶裡面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。
2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應許可權,並且經常檢查系統的用戶,刪除已經不再使用的用戶。
3)、創建兩個管理員賬號創建一個一般許可權用戶用來收信以及處理一些日常事物,另一個擁有Administrator許可權的用戶只在需要的時候使用。
4)、把系統Administrator賬號改名Windows XP的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
5)、創建一個陷阱用戶創建一個名為「Administrator」的本地用戶,把它的許可權設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級復雜密碼。
6)、把共享文件的許可權從Everyone組改成授權用戶 不要把共享文件的用戶設置成「Everyone」組,包括列印共享,默認的屬性就是「Everyone」組的。
7)、不讓系統顯示上次登錄的用戶名 打開注冊表編輯器並找到注冊表項-DisplayLastUserName,把鍵值改成1。
3. 阿里雲ecs伺服器怎麼設置更安全
雲伺服器的安全安全設置主要有一下幾個比較重要的幾個方面:
1、首先是伺服器的用戶管理,很多的攻擊和破解,首先是針對於系統的遠程登錄,畢竟拿到登錄用戶之後就能進入系統進行操作,所以首先要做的就是禁止root超級用戶的遠程登錄。
2、把ssh的默認埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著,尤其是對於linux伺服器的ssh默認22埠,掃描工具掃描出22埠之後就可能會嘗試破解和登錄。把ssh的默認埠修改後可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解,其原理是嘗試多少次登錄失敗之後就把那個IP給禁止登錄了。
3、SSH 改成使用密鑰登錄,這樣子就不必擔心暴力破解了,因為對方不可能有你的密鑰,比密碼登錄安全多了。
4、一定要定期檢查和升級你的網站程序以及相關組件,及時修復那些重大的已知漏洞。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站,嘗試找系統漏洞。即使你前面把伺服器用戶許可權管理、登錄防護都做得很好了,然而還是有可能在網站程序上被破解入侵。
5、另外如果雲伺服器上運行多個網站系統(博客+企業官網)。我推薦使用docker容器的方式隔離運行環境,將每個程序運行在一個單獨的容器里,這樣即使伺服器上其中的一個網站程序被破解入侵了,也會被限制在被入侵的容器內,不會影響到其他的容器,也不會影響到系統本身。
4. Windows伺服器如何做好安全防護
1.修改windows遠程連接埠,非默認3389。
2.開啟防火牆,修改遠程登錄密碼,定期修改。不要嫌麻煩。
3.安裝下伺服器安全狗,開啟防護,能簡單的抗攻擊。
4.盡量不要在瀏覽器裡面下載垃圾軟體。
5. 如何實現一個安全的Web登陸
對於 Web 應用程序,安全登錄是很重要的。但是目前大多數 Web 系統在發送登錄密碼時是發送的明文,這樣很容易被入侵者監聽到密碼。當然,通過 SSL
來實現安全連接是個不錯的方法,但是很多情況下我們沒辦法將伺服器設置為帶有 SSL 的 Web 伺服器。因此如果在登錄系統中加入安全登錄機制,則可以在沒有 SSL
的 Web 伺服器上實現安全登錄。
要實現安全登錄,可以採用下面三種方法,一種基於非對稱加密演算法,一種基於對稱加密演算法,最後一種基於散列演算法。
非對稱加密演算法中,目前最常用的是 RSA 演算法和
ECC(橢圓曲線加密)演算法。要採用非對稱加密演算法實現安全登錄的話,首先需要在客戶端向伺服器端請求登錄頁面時,伺服器生成公鑰和私鑰,然後將公鑰隨登錄頁面一起傳遞給客戶端瀏覽器,當用戶輸入完用戶名密碼點擊登錄時,登錄頁面中的
JavaScript
調用非對稱加密演算法對用戶名和密碼用用公鑰進行加密。然後再提交到伺服器端,伺服器端利用私鑰進行解密,再跟資料庫中的用戶名密碼進行比較,如果一致,則登錄成功,否則登錄失敗。
對稱加密演算法比非對稱加密演算法要快得多,但是對稱加密演算法需要數據發送方和接受方共用一個密鑰,密鑰是不能通過不安全的網路直接傳遞的,否則密鑰和加密以後的數據如果同時監聽到的話,入侵者就可以直接利用監聽到的密鑰來對加密後的信息進行解密了。
如何用 hmac
演算法實現安全登錄。首先在客戶端向伺服器端請求登錄頁面時,伺服器端生成一個隨機字元串,連同登錄頁面一同發送給客戶端瀏覽器,當用戶輸入完用戶名密碼後,將密碼採用
MD5 或者 SHA1 來生成散列值作為密鑰,伺服器端發送來的隨機字元串作為消息數據,進行 hmac
運算。然後將結果提交給伺服器。之所以要對用戶輸入的密碼進行散列後再作為密鑰,而不是直接作為密鑰,是為了保證密鑰足夠長,而又不會太長。伺服器端接受到客戶端提交的數據後,將保存在伺服器端的隨機字元串和用戶密碼進行相同的運算,然後進行比較,如果結果一致,則認為登錄成功,否則登錄失敗。當然如果不用
hmac 演算法,直接將密碼和伺服器端生成的隨機數合並以後再做 MD5 或者 SHA1,應該也是可以的。
這里客戶端每次請求時伺服器端發送的隨機字元串都是不同的,因此即使入侵者監聽到了這個隨機字元串和加密後的提交的數據,它也無法再次提交相同的數據通過驗證。而且通過監聽到的數據也無法計算出密鑰,所以也就無法偽造登錄信息了。
對稱和非對稱加密演算法不僅適用於登錄驗證,還適合用於最初的密碼設置和以後密碼修改的過程中,而散列演算法僅適用於登錄驗證。但是散列演算法要比對稱和非對稱加密演算法效率高。
6. 如何保證Linux伺服器的網路安全
本文將向你介紹基本的 Linux 伺服器安全知識。雖然主要針對 Debian/Ubuntu,但是你可以將此處介紹的所有內容應用於其他 Linux 發行版。我也鼓勵你研究這份材料,並在適當的情況下進行擴展。
1、更新你的伺服器
保護伺服器安全的第一件事是更新本地存儲庫,並通過應用最新的修補程序來升級操作系統和已安裝的應用程序。
在 Ubuntu 和 Debian 上:
$ sudo apt update && sudo apt upgrade -y
在 Fedora、CentOS 或 RHEL:
$ sudo dnf upgrade
2、創建一個新的特權用戶
接下來,創建一個新的用戶帳戶。永遠不要以 root 身份登錄伺服器,而是創建你自己的帳戶(用戶),賦予它 sudo 許可權,然後使用它登錄你的伺服器。
首先創建一個新用戶:
$ adser <username>
通過將 sudo 組(-G)附加(-a)到用戶的組成員身份里,從而授予新用戶帳戶 sudo 許可權:
$ usermod -a -G sudo <username>
3、上傳你的 SSH 密鑰
你應該使用 SSH 密鑰登錄到新伺服器。你可以使用 ssh--id 命令將 預生成的 SSH 密鑰 上傳到你的新伺服器:
$ ssh--id <username>@ip_address
現在,你無需輸入密碼即可登錄到新伺服器。
4、安全強化 SSH
接下來,進行以下三個更改:
禁用 SSH 密碼認證
限制 root 遠程登錄
限制對 IPv4 或 IPv6 的訪問
使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 並確保以下行:
改成這樣:
接下來,通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4(對大多數人來說應該沒問題),請進行以下更改:
重新啟動 SSH 服務以啟用你的更改。請注意,在重新啟動 SSH 服務之前,與伺服器建立兩個活動連接是一個好主意。有了這些額外的連接,你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。
在 Ubuntu 上:
在 Fedora 或 CentOS 或任何使用 Systemd 的系統上:
5、啟用防火牆
現在,你需要安裝防火牆、啟用防火牆並對其進行配置,以僅允許你指定的網路流量通過。(Ubuntu 上的) 簡單的防火牆 (UFW)是一個易用的 iptables 界面,可大大簡化防火牆的配置過程。
你可以通過以下方式安裝 UFW:
默認情況下,UFW 拒絕所有傳入連接,並允許所有傳出連接。這意味著伺服器上的任何應用程序都可以訪問互聯網,但是任何嘗試訪問伺服器的內容都無法連接。
首先,確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄:
然後啟用 UFW:
你可以通過以下方式查看允許和拒絕了哪些服務:
如果你想禁用 UFW,可以通過鍵入以下命令來禁用:
你還可以(在 RHEL/CentOS 上)使用 firewall-cmd ,它已經安裝並集成到某些發行版中。
6、安裝 Fail2ban
Fail2ban 是一種用於檢查伺服器日誌以查找重復或自動攻擊的應用程序。如果找到任何攻擊,它會更改防火牆以永久地或在指定的時間內阻止攻擊者的 IP 地址。
你可以通過鍵入以下命令來安裝 Fail2ban:
然後復制隨附的配置文件:
重啟 Fail2ban:
這樣就行了。該軟體將不斷檢查日誌文件以查找攻擊。一段時間後,該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表:
7、移除無用的網路服務
幾乎所有 Linux 伺服器操作系統都啟用了一些面向網路的服務。你可能希望保留其中大多數,然而,有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網路服務:(LCTT 譯註:應該是只保留少部分,而所有確認無關的、無用的服務都應該停用或刪除。)
ss 的輸出取決於你的操作系統。下面是一個示例,它顯示 SSH(sshd)和 Ngnix(nginx)服務正在偵聽網路並准備連接:
刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。
要在 Debian / Ubuntu 上刪除未使用的服務:
要在 Red Hat/CentOS 上刪除未使用的服務:
再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。
以上文章來源www.idccoupon.com,歡迎一起交流討論學習。
7. 怎麼保證遠程登錄伺服器安全
「遠程桌面」面板下方有一個「選擇用戶」的按鈕,點擊之後,在「遠程桌面用戶」 窗口中點擊「添加」按鈕鍵入允許的用戶,或者通過「高級→立即查找」添加用戶。遠程的登錄具有一定的風險,所以可登錄的帳戶一定要控制好。還可以設置為只允許特定的IP訪問(例如只允許管理員網段訪問)—由於限制較大,這個要根據實際情況來操作的。
8. 如何安全高效使用伺服器
(一) 構建好硬體安全防禦系統
選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件:防火牆、入侵檢測系統、路由系統等。
防火牆在安全系統中扮演一個保安的角色,可以很大程度上保證來自網路的非法訪問以及數據流量攻擊,如拒絕服務攻擊等;入侵檢測系統則是扮演一個監視器的角色,監視你的伺服器出入口,非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。
(二) 選用英文的操作系統
要知道,windows畢竟美國微軟的東西,而微軟的東西一向都是以Bug 和 Patch多而著稱,中文版的Bug遠遠要比英文版多,而中文版的補丁向來是比英文版出的晚,也就是說,如果你的伺服器上裝的是中文版的windows系統,微軟漏洞公布之後你還需要等上一段時間才能打好補丁,也許黑客、病毒就利用這段時間入侵了你的系統。
我們只可以盡量避免被入侵,最大的程度上減少傷亡。
(一) 採用NTFS文件系統格式
大家都知道,我們通常採用的文件系統是FAT或者FAT32,NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式。NTFS文件系統里你可以為任何一個磁碟分區單獨設置訪問許可權。把你自己的敏感信息和服務信息分別放在不同的磁碟分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁碟分區的訪問許可權,還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁碟上的敏感信息。
(二)做好系統備份
常言道,「有備無患」,雖然誰都不希望系統突然遭到破壞,但是不怕一萬,就怕萬一,作好伺服器系統備份,萬一遭破壞的時候也可以及時恢復。
(三)關閉不必要的服務,只開該開的埠
關閉那些不必要開的服務,做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的,甚至可以說是危險的,比如:默認的共享遠程注冊表訪問(Remote Registry Service),系統很多敏感的信息都是寫在注冊表裡的,如pcanywhere的加密密碼等。
關閉那些不必要的埠。一些看似不必要的埠,確可以向黑客透露許多操作系統的敏感信息,如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69埠告訴黑客你的操作系統極有可能是linux或者unix系統,因為69是這些操作系統下默認的tftp服務使用的埠。對埠的進一步訪問,還可以返回該伺服器上軟體及其版本的一些信息,這些對黑客的入侵都提供了很大的幫助。此外,開啟的埠更有可能成為黑客進入伺服器的門戶。
總之,做好TCP/IP埠過濾不但有助於防止黑客入侵,而且對防止病毒也有一定的幫助。
(四)軟體防火牆、殺毒軟體
雖然我們已經有了一套硬體的防禦系統,但是「保鏢」多幾個也不是壞事。
(五)開啟你的事件日誌
雖然開啟日誌服務雖然說對阻止黑客的入侵並沒有直接的作用,但是通過他記錄黑客的行蹤,我們可以分析入侵者在我們的系統上到底做過什麼手腳,給我們的系統到底造成了哪些破壞及隱患,黑客到底在我們的系統上留了什麼樣的後門,我們的伺服器到底還存在哪些安全漏洞等等。如果你是高手的話,你還可以設置密罐,等待黑客來入侵,在他入侵的時候把他逮個正著。
9. 如何提高windows 伺服器安全性 知乎
1)、禁用Guest賬號在計算機管理的用戶裡面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。
2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應許可權,並且經常檢查系統的用戶,刪除已經不再使用的用戶。
3)、創建兩個管理員賬號創建一個一般許可權用戶用來收信以及處理一些日常事物,另一個擁有Administrator許可權的用戶只在需要的時候使用。
4)、把系統Administrator賬號改名Windows XP的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
5)、創建一個陷阱用戶創建一個名為「Administrator」的本地用戶,把它的許可權設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級復雜密碼。
6)、把共享文件的許可權從Everyone組改成授權用戶 不要把共享文件的用戶設置成「Everyone」組,包括列印共享,默認的屬性就是「Everyone」組的。
7)、不讓系統顯示上次登錄的用戶名 打開注冊表編輯器並找到注冊表項-DisplayLastUserName,把鍵值改成1。
8)、系統賬號/共享列表 Windows XP的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表,這個本來是為了方便區域網用戶共享文件的,但是一個遠程用戶也可以得到你的用戶列表並使用暴力法破解用戶密碼。可以通過更改注冊表Local_-RestrictAnonymous = 1來禁止139空連接,還可以在Windows XP的本地安全策略(如果是域伺服器就是在域伺服器安全和域安全策略中)就有這樣的選項RestrictAnonymous(匿名連接的額外限制)
10. 如何提高伺服器的安全性
推薦使用伺服器數據保護鎖--MCK,是通過安全容器接管操作系統,讓應用在容器內運行,數據保存在容器內,容器內通過鏡像技術,實行工作場景白名單機制,並對核心數據進行加密保護,實現伺服器的最後一米安全。即使攻進來,什麼也做不了。
對外可防止木馬病毒入侵,防止核心數據被盜取
對內可以對運維人員進行運維行為審計。