浅谈为你的 Linux 服务器加把锁

无论你利用的哪种 Linux 发行版，你都需要利用基于 iptables 的防火墙来保护它。

啊哈！你已经设置好了你的第一台 Linux 服务器并且已经预备发车了！是么？嗯，慢着。

默认情况下，你的 Linux 系统对攻击者来说并非是足够安全的。固然，它比 Windows XP 要安全多了，但这说明不了什么。

想要使你的 Linux 系统真正稳固，你需要按照 Linode 的 服务器安全指南 来操纵。

总的来说，起首你必须关闭那些你不需要的服务。固然要如许做的话，你先要知道你正在利用哪些网络服务。

你可以利用 shell 下令来找到是哪些服务：

netstat 将会告诉你正在运行哪些服务和这些服务正在利用的端口是什么。如果你不需要其中的某项服务或端口，你就应该关闭它。例如，除非你正在运行一个网站，否则你是不需要运行中的 Apache 或 Nginx 服务器，也不需要开启 80 或 8080 端口。

总之一句话，不确定的话，就关了它先。

在一个最简单的，没有做过任何额外更改的 Linux 服务器上，你会看到 SSH、 RPC 和 NTPdate 运行在它们的公开端口上。不要添加像 telnet 如许陈旧而不安全的 shell 步伐，否则老司机就会在你不经意间将你的 Linux 小跑车开走了。也许，在上世纪 80 年代的时间你喜欢把 telnet 当作你 SunOS 呆板上的备份登录方式，但是那早已成为了已往。

就 SSH 来说，你应该利用 RSA 密钥 和 Fail2Ban 来加固。除非你需要 RPC，否则就卸载它——如果你不知道需要不需要它的话，那就是不需要。

关于怎样关门已经说的够多了；让我们来聊聊利用 iptables 来锁定进来的流量吧。

当你启动 Linux 服务器的时间它是没有任何规则的。这就意味着所有的流量都是被答应的。这固然是不好的。因此，你需要及时的设置你的防火墙。

Iptables 是一种用来给 netfilter 设置网络策略规则的 shell 工具，netfilter 是Linux 系统下的默认防火墙，它利用一组规则来答应或克制流量。当有人尝试毗连上你的系统——有些人无时不刻地尝试这么干，而且从不气馁——iptables 就会检查这些请求是否与规则列表相匹配。如果没有匹配到任何的规则，它就会采取默认操纵。

这个默认操纵应该是将毗连“Drop”掉，即禁掉这些意图突入者。而且这不会让他们知道这些网络探测行为发生了什么。（你也可以将链接“Reject”掉，但是这会同时让他们知道你有一个正在运行的 Linux 防火墙。就目前而言，让生疏人能获取到我们系统的信息越少越好。至少，我是这么以为的。）

现在，你可以用 iptables 来设置你的防火墙了。我已经这么做了。就像从前，我骑着自行车去六英里外上班，并且两边都是上坡。而现在，我开车去。

这其实比喻的是我利用 Fedora 发行版的 FirewallD 和 Debian 系发行版的 UFW（Uncomplicated Firewall）。这些都是易用的 iptables 的 shell 前端。你可以在以下的 Linode 指南中找到适合的利用方式：FirewallD 和 UFW。

从本质上来说设置这些规则就是在你的服务器上放置“非请勿入”的告示牌。用起来吧。

但是也别太兴奋地把所有的链接都关闭了。例如：

看起来是个好主意哦。别忘了，它克制了所有链接，包括你自己哦！

很好，它就是这么干的。这意味着它也同样克制了 SSH 的登录。也就是说你再也不能登录你那新服务器了。哇哦！

不过，如果你犯了错，错误的将更多的链接都克制了。你看，老司机也同样被你挡在门外了。

或者，更准确得说，这不是你或你的服务器所遇到的个别征象。固然，你也不是每天受到 3 亿多次攻击尝试的美国国家安全局（NSA）。但是攻击脚本根本不在乎你是谁。它只是不停的检查探求网络中存在已知弊端的服务器。在平常的一天中我自己的小服务器就会受到数以百计的攻击。

都如许了，你还在等什么呢？去吧，加固你的网络服务吧。安装 FirewallD 或者 UFW 来加固你的服务器吧。你会乐意去做的。

以上就是本文关于浅谈为你的 Linux 服务器加把锁的全部内容，盼望对各人有所帮助。感爱好的朋友可以继续参阅本站其他相干专题，如有不足之处，接待留言指出。感谢朋友们对本站的支持！