zoukankan      html  css  js  c++  java

  • 安全防范:服务器连接及权限处理

    安全防范:服务器连接及权限处理

    1. 概述

    直接使用密码去ssh登录服务器,容易被黑客使用密码字典暴力破解。所以开发人员要养成良好的安全习惯,从登录服务器开始:

    • 禁用密码登录
    • 使用更安全的 ssh-key 登录

    TODO:后面会写一些文章来介绍:如何使用字典进行ssh爆破的方法。来增强大家对于安全的意识,本文则重点写防范措施。

    2. 操作系统环境

    • Ubuntu 14.4 LTS

    其它的 Linux 发行版,方法类似。

    3. 禁用密码而使用ssh-key

    vim /etc/ssh/sshd_config

    修改如下的几行:

    #启用公钥认证
PubkeyAuthentication        yes

#存储授权公钥的文件路径
AuthorizedKeysFile          .ssh/authorized_keys

#禁止密码登录
PasswordAuthentication      no

    然后重启sshd

    service sshd restart

    4. 禁用root登录

    由于 root 用户具有超级管理员权限,为了安全起见,尽量禁止使用root用户进行操作。禁止root登录,则继续如下设置:

    PermitRootLogin no

    然后重启sshd

    service sshd restart

    5. 使用ssh-key登录

    主要步骤如下:

    1. 客户机上生成一组ssh-key的公钥和私钥
    2. 将公钥复制到服务器指定用户的.ssh/authorized_keys里面

    然后客户机即可实现无密码登录服务器。

    6. 给普通用户提权

    在前面有一个操作:禁用root用户登录。那么对于一些系统命令,必须要root权限时该如何处理呢?这个时候就需要使用sudo来为普通用户提权了,升级为管理员权限。

    使用sudo对普通用户提权的好处如下:

    • 如何让普通用户临时拥有root权限
    • 操作时保留普通用户的环境变量痕迹
    • 在出现异常时,查阅日志可以定位具体的用户的具体行为

    ubuntu中,查看文件etc/sudoers:

    ...

# User privilege specification
root    ALL=(ALL:ALL) ALL

...

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

...

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

    从以上文件内容最后一句#includedir /etc/sudoers.d语句,不难看出,将用户添加到sudo组有两种方法:

    • /etc/sudoers插入配置语句
    • /etc/sudoers.d/添加配置文件

    注意:#include前面的#并不是一般情况下bash语句下的注意,而是包含语法。之前笔者就自作聪明地去年了这个#号,导致一直无法正常配置。

    一般情况下,建议使用第二种方法,添加配置文件的方式,这样可以在物理文件层次上进行解耦,在权限配置上也更细致一些。

    使用第二种方法:

    1. sudoers.d目录下添加文件newsudoers
    2. newsudoers中添加配置内容mysudouser ALL=(ALL:ALL) ALL

    如果要添加一个组到sudo组中,则添加如下配置内容:

    #add xxxsudogrp to sudo 
mysudogrp ALL=(ALL:ALL) ALL

    只要是属于mysudogrp组的用户都能提到root权限。

    7. 总结

    在目前云主机越来越广泛使用的今天,很多重要服务基本上都是放于公网云端,那么这些安全问题都需要格外注意。如果不注意,则可能会出现如下问题:

    1. ssh密码被暴力破解。大家可以以关键字搜索“200万密码字典,看自己的密码有没有位于其中。
    2. 被破解的用户往往是root用户。因为rootlinux的默认而且确定会有的用户。
    3. 如果多个运维人员的登录账号没有做区分,则即使由监控系统查出异常,定位问题的难度也是相当大。例如:监控系统查出root账号在异地异常登录,那么一共有5个开发人员,能从哪里排查呢?

    综上所述:养成良好的服务器使用习惯,是每个开发人员必备的基本素质。

    作者: Harmo哈莫
    作者介绍: https://zhengwh.github.io
    技术博客: http://www.cnblogs.com/beer
    Email: dreamzsm@gmail.com
    QQ: 1295351490
    时间: 2016-02
    版权声明: 欢迎以学习交流为目的读者随意转载,但是请 【注明出处】
    支持本文: 如果文章对您有启发,可以点击博客右下角的按钮进行 【推荐】
  • 相关阅读:
    Vue.nextTick()的介绍和使用场景
    JS实现数据双向绑定
    JS对象的可枚举属性和不可枚举属性
    JS中对象转数组方法总结
    Vmware虚拟机安装XP系统
    javascript和c#的深度拷贝的一种通用方法
    c# SQLServer导入大批量数据
    PowerDesigner逆向工程,从SQL Server数据库生成Physical Model -----数据源方式
    虚拟机和主机ping不通,SQL Server无法远程连接的解决方法
    c#生成试卷。。。
  • 原文地址:https://www.cnblogs.com/beer/p/5588941.html
Copyright © 2011-2022 走看看