云

英文：Cody Littlewood 译者：伯乐在线 – Panblack 链接：http://blog.jobbole.com/103344/ Bryan Kennedy 的《5分钟服务器安全设置》很好地介绍了对多数服务器攻击的防御对策。我们对他的方法做了一些修改，记录下来，作为推广我们的流程和最佳实践的一部分。还增加一些额外的解释，年轻的工程师们应该可以从中受益。 我每天上午检查 logwatch 邮件的时候，看到那些成百上千的登录尝试，几乎没有成功的，完全就像是一种享受。（有很多非常令人无语，比如用 1234 做 root 密码反反复复的登录）。这篇入门文章适用于 Debian/Ubuntu服务器，这是我们最喜欢的服务器发行版，通常我们这些服务器只是作为 docker 容器的宿主机，不过原理仍然适用。下一次我们再深入讲解如何保护专门用作 docker 宿主机的服务器。 在大规模系统上，当然最好是用 Ansible 或 Shipyard 这类工具完全自动化配置。不过偶尔的，你只是搭建一台独立服务器或为一个 Ansible recipe 准备基准设置，这就是本文要涵盖的内容。 声明：本文仅仅是入门和基础，你需要根据自己的需求来扩展。 重要的事先说 我们还没给 root 设密码呢，密码要随机、要复杂。我们用一种密码管理软件的密码生成器，调至最复杂设定。PW 管理软件将密码加密保存，并且由一个很长的主密码保护着。这里提供了多项冗余措施——长、复杂、随机的密码 + 加密保存/另一个长密码保护。不管你是用 PW 管理软件或其他手段，要妥善保管密码并且要加密保存。你只有在忘了 sudo 密码时才会用到这个密码。 # passwd * 注：在 HN 和 Redit 上有很多关于 root 密码的讨论，值得一读。 下一步就需要更新软件库并升级系统、应用最新的补丁。我们后面有个章节专门介绍如何自动安装安全更新。 apt–get update apt–get upgrade 添加用户 永远不要以 root 登录服务器。在用户名方面我们跟 Bryan 遵循类似的惯例，但是你可以根据自己的喜好使用任何惯例。在小团队里，大家共用一个用户名不是问题；但是队伍再大一些的话，最好是给不同的用户设定不同的权限级别，只给精心挑选的少数用户赋予 sudo 权限。...