[[145584]]

我運行幾個Linux服務器；在家里的一個作為文件服務器，還有三個實時服務器分別用作站點、郵件、云儲存。雖然我不用擔心家里的服務器的安全問題，因為它不和外面的世界對話，但是另外三個服務器始終需要維護。對于那些Linux新手并且他們想運行自己的服務器，那么他們必須將一些觀念牢記在心，這就是本文所專注的方面。

　　1.安裝你需要的

　　如果你計劃運行一個服務器，你也許會想“我在 Linode有40GB的固態硬盤存儲空間，所以我能夠安裝我想要的任何服務。”的確如此：你的服務器、軟件等都可以安裝在上面。但是也不要太想當然了。即使是最“堅硬”的服務器也能夠被劫持，由于在它上面使用未打補丁或者易受攻擊的組件。

　　所以第一個規則是保持你服務器的精簡，讓它吝嗇一點。只安裝那些你真正需要的軟件。如果存在不想要的軟件，就清除它們。軟件越少，未打補丁的代碼也會少些。在你安裝任何軟件和依賴包之前(比方說：私有云)，你應該閱讀私有云的文檔并只安裝那些你需要的包。

　　2.運行你需要的

　　第二個規則是只運行那些你需要的服務。許多發行版或者軟件包也許在不同的端口開啟了特定的服務。那會造成一些安全風險，請先打開終端并運行下面這條命令：　　

netstat -npl 

　　輸出結果將會告訴你在哪些端口正在運行哪些服務。如果你發現任何你沒有打算運行的服務，停止這些服務。你也應該注意一下那些隨系統啟動就啟動并運行的服務。你能夠通過在系統上運行systemd來檢查這些服務，輸入以下命令：　　

systemctl list-unit-files –type=service | grep enabled 

　　根據你自己的系統，你將會得到一個如圖1所示的輸出結果。如果你發先任何不想要的服務，你可以運行systemctl命令關閉它：　　

systemctl disable service_name 

　　3.服務器入口限制

　　就像你不會把你家門的鑰匙給你認識的每一個人，你也不應該讓你認識的人隨便進入你的服務器。一旦明確了這一規則，你就要限制服務器的進入。記住一件事：做這些并不能阻止那些執著于使你服務器癱瘓的人。我們做的只是增加服務器的安全級別以應對攻擊者的偶然攻擊。

[[145585]]

　　4.從不以Root權限登陸

　　以超級用戶遠程登陸到你的服務器可不是什么好習慣。我們將會禁用以root用戶遠程登陸服務器，但在做這之前，讓我們先創建一個擁有sudo權限的用戶以便你能夠遠程登陸服務器并執行管理員任務。一旦你用這個用戶身份登陸服務器，你總是能夠在你需要時隨時切換到root權限。如果你在系統上已經有了一個用戶，請跳過這些步驟;否則的話，還是跟著我做下去。

　　不同的發行版增加新用戶的方式有所不同;Red Hat/CentOS使用useradd命令，Ubuntu/Debian使用adduser命令。

　　在Fedora/CentOS上創建一個新用戶：　　

useradd swapnil 

　　接著為這個用戶創建一個密碼：　　

passwd swapnil 

　　命令會讓你給這個用戶提供一個新密碼。現在你要做的是賦予該用戶sudo權限。運行以下命令：　　

EDITOR=nano visudo 

　　并找到下面這一行(圖2)：　　

# %wheel ALL=(ALL) ALL 

　　取消這一行注釋(#表示注釋;刪除#表示取消注釋)就像下面這個樣子：　　

%wheel ALL=(ALL) ALL