Ubuntu 20.04 LTS服务器的安全加固步骤

Ubuntu 20.04 LTS（长期支持版本）是一款广受欢迎的Linux操作系统，被广泛用于服务器环境。然而，在将Ubuntu服务器部署到生产环境之前，必须采取一系列的安全加固步骤，以确保服务器系统的稳定性和安全性。本文将介绍一些关键的Ubuntu 20.04 LTS服务器安全加固步骤，以帮助您减少潜在的安全风险。

注：要使用下面示例代码中的命令来实施Ubuntu 20.04 LTS服务器的安全加固步骤，首先确保您的服务器上已安装Git。

1. 更新系统

安全性始于系统的更新。确保您的Ubuntu服务器上的所有软件包和操作系统都是最新的版本。使用以下命令更新系统：

sudo apt update
sudo apt upgrade

2. 配置防火墙

Ubuntu默认启用了UFW（Uncomplicated Firewall），可以轻松配置防火墙规则。首先，允许SSH访问，然后只允许必要的端口通过防火墙。例如，如果您运行Web服务器（如Nginx或Apache），可以使用以下命令允许HTTP（端口80）和HTTPS（端口443）流量：

sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

确保在设置完防火墙规则后启用UFW。

3. 禁用不必要的服务

默认情况下，Ubuntu服务器可能启用了一些不必要的服务。检查并禁用不需要的服务以减少潜在的攻击面。使用systemctl命令来管理服务，例如：

# 禁用一个服务
sudo systemctl disable (service-name)

# 停止并禁用一个服务
sudo systemctl stop (service-name)
sudo systemctl disable (service-name)

4. 配置SSH安全

SSH是远程管理Ubuntu服务器的主要方式，因此确保SSH安全非常重要。

4.1 更改SSH默认端口

将SSH端口更改为非默认端口（默认是22）可以降低恶意攻击的风险。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

找到Port行并更改端口号，然后重新启动SSH服务：

sudo systemctl restart ssh

4.2 禁用密码登录

使用SSH密钥认证来替代密码登录，以提高安全性。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

找到PasswordAuthentication行，将其设置为no，然后重新启动SSH服务：

PasswordAuthentication no

4.3 使用SSH密钥

创建SSH密钥对并将公钥复制到服务器上。使用以下命令来生成SSH密钥：

ssh-keygen -t rsa -b 4096

然后将~/.ssh/id_rsa.pub中的公钥复制到服务器的~/.ssh/authorized_keys文件中。

5. 防止暴力攻击

保护服务器免受暴力攻击是非常重要的。使用工具如Fail2Ban来防止暴力SSH登录尝试。首先安装Fail2Ban：

sudo apt install fail2ban

然后配置它来监控SSH登录尝试并封锁IP地址：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

在jail.local文件中，配置SSH规则，例如：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

最后，重新启动Fail2Ban：

sudo systemctl restart fail2ban

6. 文件系统安全

6.1 使用AppArmor或SELinux

AppArmor和SELinux是Linux上的强制访问控制工具，可以帮助限制应用程序的权限。根据您的需求选择其中一个并配置它。

配置AppArmor

# 安装AppArmor（如果未安装）
sudo apt install apparmor apparmor-utils

# 启用AppArmor
sudo systemctl enable apparmor
sudo systemctl start apparmor

然后，为您的应用程序创建或配置AppArmor策略文件。

配置SELinux

# 安装SELinux（如果未安装）
sudo apt install selinux-utils selinux-basics selinux-policy-default

# 启用SELinux
sudo selinux-activate

# 重启服务器
sudo reboot

然后，为您的应用程序创建或配置SELinux策略。

6.2 限制目录和文件权限

使用chmod和chown命令来限制对文件和目录的访问权限，确保只有授权的用户可以访问重要的系统文件。

# 修改文件或目录的权限
sudo chmod permissions /path/to/file_or_directory

# 修改文件或目录的所有者和群组
sudo chown owner:group /path/to/file_or_directory

请注意，permissions，owner和group应根据您的需求进行替换。

7. 监控和日志

监控服务器的活动并查看系统日志以及网络流量是检测潜在问题的关键。使用工具如fail2ban、logwatch和rkhunter来监控服务器的安全性。

8. 定期备份

定期备份服务器上的数据，以防止数据丢失。使用备份工具或云存储服务来创建备份策略。

9. 教育用户

对服务器用户进行安全意识培训，教育他们如何创建强密码、避免社会工程攻击和识别潜在的安全威胁。

10. 定期审计

定期审计服务器的安全性，识别并修复潜在的漏洞和问题。确保您的安全策略持续有效。

结论

保护Ubuntu 20.04 LTS服务器的安全性是一个不断演化的过程。通过采取上述安全加固步骤，您可以显著降低服务器受到攻击的风险。请记住，安全性是一项持续性的工作，您应该保持对服务器的监控，随时准备应对新的威胁和漏洞。通过综合的安全性措施，您可以确保您的Ubuntu服务器在生产环境中保持高水平的稳定性和安全性。