Linux服务器加固的基本步骤详解

在输入密码之前，按下 回车使用 /home/your_username/.ssh 中的默认名称 id_rsa 和 id_rsa.pub。

Windows

这可以使用 PuTTY 完成，在我们指南中已有描述：使用 SSH 公钥验证。

2、将公钥上传到您的服务器上。 将 example_user 替换为你用来管理服务器的用户名称，将 203.0.113.10 替换为你的服务器的 IP 地址。

Linux

在本机上：

OS X

在你的服务器上(用你的权限受限用户登录)：

在本机上：

如果相对于 scp 你更喜欢 ssh-copy-id 的话，那么它也可以在 Hemebrew 中找到。使用 brew install ssh-copy-id 安装。

Windows

选择 1：使用 WinSCP 来完成。 在登录窗口中，输入你的服务器的 IP 地址作为主机名，以及非 root 的用户名和密码。单击“登录”连接。

一旦 WinSCP 连接后，你会看到两个主要部分。 左边显示本机上的文件，右边显示服务区上的文件。 使用左侧的文件浏览器，导航到你已保存公钥的文件，选择公钥文件，然后点击上面工具栏中的“上传”。

系统会提示你输入要将文件放在服务器上的路径。 将文件上传到 /home/example_user/.ssh /authorized_keys，用你的用户名替换 example_user。

选择 2：将公钥直接从 PuTTY 键生成器复制到连接到你的服务器中(作为非 root 用户)：

上面命令将在文本编辑器中打开一个名为 authorized_keys 的空文件。 将公钥复制到文本文件中，确保复制为一行，与 PuTTY 所生成的完全一样。 按下 CTRL + X，然后按下 Y，然后回车保存文件。

最后，你需要为公钥目录和密钥文件本身设置权限：

这些命令通过阻止其他用户访问公钥目录以及文件本身来提供额外的安全性。有关它如何工作的更多信息，请参阅我们的指南如何修改文件权限。

3、 现在退出并重新登录你的服务器。如果你为私钥指定了密码，则需要输入密码。

SSH 守护进程选项

1、 不允许 root 用户通过 SSH 登录。 这要求所有的 SSH 连接都是通过非 root 用户进行。当以受限用户帐户连接后，可以通过使用 sudo 或使用 su - 切换为 root shell 来使用管理员权限。

2、 禁用 SSH 密码认证。 这要求所有通过 SSH 连接的用户使用密钥认证。根据 Linux 发行版的不同，它可能需要添加 PasswordAuthentication 这行，或者删除前面的 # 来取消注释。

如果你从许多不同的计算机连接到服务器，你可能想要继续启用密码验证。这将允许你使用密码进行身份验证，而不是为每个设备生成和上传密钥对。

3、 只监听一个互联网协议。 在默认情况下，SSH 守护进程同时监听 IPv4 和 IPv6 上的传入连接。除非你需要使用这两种协议进入你的服务器，否则就禁用你不需要的。 这不会禁用系统范围的协议，它只用于 SSH 守护进程。

使用选项：

AddressFamily inet 只监听 IPv4。

AddressFamily inet6 只监听 IPv6。

默认情况下，AddressFamily 选项通常不在 sshd_config 文件中。将它添加到文件的末尾：

4、 重新启动 SSH 服务以加载新配置。

如果你使用的 Linux 发行版使用 systemd(CentOS 7、Debian 8、Fedora、Ubuntu 15.10+)

如果您的 init 系统是 SystemV 或 Upstart(CentOS 6、Debian 7、Ubuntu 14.04)：

使用 Fail2Ban 保护 SSH 登录

Fail2Ban是一个应用程序，会把频繁出现登陆失败的IP地址进行自动封禁。一般情况下，人们都不会连续三次以上输错密码(如果使用 SSH 密钥，那不会超过一个)，因此如果服务器充满了登录失败的请求那就表示有恶意访问。

这个软件的监听范围很广，包括我们熟知的 SSH、HHTP或者SMTP。不过在默认仅监视 SSH，并且因为 SSH 守护程序通常配置为持续运行并监听来自任何远程 IP 地址的连接，所以对于任何服务器都是一种安全威慑。

删除未使用的面向网络的服务

大部分 Linux 发行版都可以使用网络服务，你可以选择把不再需要的那部分删除掉，这样可以减少被攻击的概率。

查明运行的服务

要查看服务器中运行的服务：