這是一個不錯的新 Linux 服務器……如果它發生了什么事，那就太可惜了。開箱即用可能運行良好，但在將其投入生產之前，您需要采取 10 個步驟來確保其配置安全。這些步驟的細節可能因發行版而異，但從概念上講，它們適用于任何風格的 Linux。通過在新服務器上檢查這些步驟，您可以確保它們至少對最常見的攻擊具有基本保護。

1 - 用戶配置

如果它不是您的操作系統設置的一部分，那么您要做的第一件事就是更改 root 密碼。這應該是不言而喻的，但在例行服務器設置過程中可能會令人驚訝地被忽視。密碼應至少為 8 個字符，使用大小寫字母、數字和符號的組合。如果您要使用本地帳戶，您還應該設置一個密碼策略，指定老化、鎖定、歷史和復雜性要求。在大多數情況下，您應該完全禁用 root 用戶，并為需要提升權限的用戶創建具有 sudo 訪問權限的非特權用戶帳戶。

2 - 網絡配置

您需要進行的最基本配置之一是通過為服務器分配 IP 地址和主機名來啟用網絡連接。對于大多數服務器，您需要使用靜態 IP，以便客戶端始終可以在同一地址找到資源。如果您的網絡使用 VLAN，請考慮服務器網段的隔離程度以及最適合的位置。如果您不使用 IPv6，請將其關閉。設置主機名、域和 DNS 服務器信息。應該使用兩個或更多 DNS 服務器來實現冗余，并且您應該測試 nslookup 以確保名稱解析正常工作。

3 - 包管理

假設您正在為特定目的設置新服務器，因此請確保安裝您可能需要的任何軟件包，如果它們不是您正在使用的發行版的一部分。這些可能是 PHP、MongoDB、ngnix 等應用程序包或 pear 等支持包。同樣，應刪除系統上安裝的任何無關軟件包以縮小服務器占用空間。所有這些都應該通過您的發行版的包管理解決方案來完成，例如 yum 或 apt，以便在以后更輕松地進行管理。

4 - 更新安裝和配置

在服務器上安裝正確的軟件包后，您應該確保所有內容都已更新。不僅是您安裝的軟件包，還有內核和默認軟件包。除非您對特定版本有要求，否則應始終使用最新的生產版本來確保系統安全。通常，您的包管理解決方案將提供最新的受支持版本。如果這樣做適用于您在此服務器上托管的服務，您還應該考慮在包管理工具中設置自動更新

5 - NTP 配置

配置您的服務器以將其時間同步到 NTP 服務器。如果您的環境有內部 NTP 服務器，它們可以是內部 NTP 服務器，也可以是任何人都可以使用的外部時間服務器。重要的是防止時鐘漂移，即服務器的時鐘偏離實際時間。這可能會導致很多問題，包括在授予訪問權限之前測量服務器和身份驗證基礎設施之間的時間偏差的身份驗證問題。這應該是一個簡單的調整，但它是可靠基礎架構的關鍵部分。

6 - 防火墻和 iptables

根據您的發行版，iptables可能已經完全鎖定并要求您打開所需的內容，但是無論默認配置如何，您都應該始終查看它并確保它按照您想要的方式進行設置。請記住始終使用最小權限原則，并且只打開該服務器上的服務絕對需要的那些端口。如果您的服務器位于某種專用防火墻的后面，請確保拒絕所有內容，但也拒絕那里的必要內容。假設你的 iptables/firewall 默認是限制性的，不要忘記打開你的服務器需要的東西來完成它的工作！

7 - 保護 SSH

SSH 是 Linux 發行版的主要遠程訪問方法，因此應該得到適當的保護。即使您禁用了該帳戶，您也應該禁用 root 遠程 SSH 的功能，以便萬一 root 由于某種原因在服務器上啟用，它仍然無法遠程利用。如果您有一組要連接的固定客戶端 IP，您還可以將 SSH 限制在某些 IP 范圍內。或者，您可以更改默認 SSH 端口以“隱藏”它，但老實說，簡單的掃描將向任何想要找到它的人揭示新的開放端口。最后，您可以完全禁用密碼身份驗證并使用基于證書的身份驗證來進一步減少 SSH 被利用的機會。

8 - 守護程序配置

您已經清理了軟件包，但將正確的應用程序設置為在重新啟動時自動啟動也很重要。請務必關閉您不需要的任何守護程序。安全服務器的一個關鍵是盡可能減少活動占用空間，因此唯一可用于攻擊的表面區域是應用程序所需的表面區域。完成此操作后，應盡可能強化剩余服務以確保彈性。

9 - SELinux 和進一步強化

如果您曾經使用過 Red Hat 發行版，那么您可能熟悉SELinux，這是一種內核強化工具，可以保護系統免受各種操作的影響。SELinux 非常擅長防止未經授權的使用和訪問系統資源。它在破壞應用程序方面也很出色，因此請確保在啟用 SELinux 的情況下測試您的配置，并使用日志來確保沒有任何合法的被阻止。除此之外，您還需要研究強化任何應用程序，例如MySQL或Apache，因為每個應用程序都有一套最佳實踐可供遵循。

10 - 記錄

最后，您應該確保您需要的日志記錄級別已啟用并且您有足夠的資源用于它。您最終將對此服務器進行故障排除，所以現在幫自己一個忙，構建快速解決問題所需的日志結構。大多數軟件都有可配置的日志記錄，但您需要反復試驗才能在信息不足和信息過多之間找到適當的平衡點。有許多第三方日志記錄工具可以幫助完成從聚合到可視化的所有工作，但首先需要考慮每個環境的需求。然后，您可以找到可以幫助您填充它們的工具。

這些步驟中的每一個都可能需要一些時間來實施，尤其是第一次。但是通過建立初始服務器配置例程，您可以確保環境中的新機器具有彈性。如果您的服務器曾經是攻擊的目標，那么不采取任何這些步驟都可能導致非常嚴重的后果。跟隨它們并不能保證安全——數據泄露會發生——但它確實使惡意行為者變得更加困難，并且需要一定程度的技能才能克服。