云計算極大地改變了服務器應用場景，許多平臺都提供免費的 Linux 云服務器，你可以在幾分鐘內通過這些平臺部署一臺 Linux 服務器。

不過，作為云服務器，也有弊端。因為它是在互聯網上可見的，所以一旦你啟動了一臺新服務器，黑客便會通過腳本自動掃描錯誤的配置或者漏洞。

所以，在安裝完 Linux 系統后，還需要做一些安全相關的配置，以提升系統的安全性。

下面是一張使用 Fail2ban 工具查看系統信息的截圖：

如上圖所示，有 212 次失敗的登錄嘗試和 6 個被阻止的 IP 地址，這些都是未經授權的人或腳本對系統進行的入侵。

所以，對系統做一些安全的配置是十分有必要的。如下我們總結了一些在安裝 Linux 系統后建議采取的措施。

1，確保設置了非 root 用戶

root 用戶具有最高權限，但是我們并不是所有工作都需要使用 root 用戶。

同時，幾乎所有 Linux 系統中都有 root 用戶，所以攻擊者通常會使用 root 用戶名來嘗試登錄系統。

所以，在平時工作中最好以非 root 用戶登錄，且 ssh 禁用遠程訪問的 root 登錄。

那么怎么添加用戶呢？我們在先前的文章中介紹過添加用戶的方法，大家可以參考：??使用 useradd 命令在 Linux 中添加新用戶??

添加用戶可使用 root 用戶登錄系統，然后使用 useradd 命令添加新用戶，如下所示：

useradd <username>

使用 passwd 命令為新添加的用戶設置密碼：

passwd <username>

2，確保非 root 用戶具有 sudo 權限

如果需要使用 ssh 遠程登錄系統，且需要執行 root 權限的活動，那么所使用的登錄賬戶需要具有 sudo 權限。

在 Ubuntu 和 CentOS 中創建 sudo 用戶的過程是相似的，但是 sudo 用戶組是不同的。

首先以 root 身份登錄系統。

在 CentOS 和 Red  Hat 上，wheel 組是具有 sudo 權限的用戶組，可以使用 usermod 命令將用戶添加到該用戶組中。

usermod -aG wheel <username>

Ubuntu 使用 sudo 用戶組來管理 sudo 用戶：

usermod -aG sudo <username>

3，啟用基于密鑰的 ssh 身份驗證

為 ssh 啟用基于密鑰的身份驗證非常重要，這樣當我們禁用基于密碼的身份驗證時，它就可以正常工作。

暴力破解或者盜取密碼是入侵者獲取系統訪問權限的常用方式，如果我們禁用基于密碼的 ssh 登錄，采用基于密鑰的 ssh 連接，那么攻擊者就無法根據用戶名和密碼訪問服務器了。

啟用 ssh 后，需要做的就是在個人計算機上生成 ssh 密鑰，有了 ssh 密鑰，就需要為非 root 用戶將公鑰添加到服務器的 authorized_keys 中。

4，確保允許 ssh 通過 ufw 防火墻

在系統啟用防火墻之前，應確保讓其允許 ssh，要不然就無法通過 ssh 訪問系統。

關于防火墻，Ubuntu 使用 ufw（Uncomplicated Firewall），CentOS 和 Red Hat 使用 firewalld。

在 CentOS 和 Red Hat 中，使用 firewall-cmd 命令：

sudo firewall-cmd --znotallow=public --add-service=ssh --permanent

在 Ubuntu 中，使用 uwf 命令：

sudo ufw allow ssh

5，啟用防火墻（在允許 ssh 之后）

迄今為止，防火墻仍是系統安全的一道屏障，在 CentOS 和 Red Hat 中，啟用  firewalld systemd 服務：?

sudo systemctl start firewalld
sudo systemctl enable firewalld

在 Ubuntu 中，使用如下命令：

sudo ufw enable

6，設置 ssh 不顯示 banner 信息

攻擊者可以通過運行服務的軟件中的漏洞來危害服務器。banner 會顯示正在運行的 OpenSSH 或操作系統版本的信息。所以我們需要設置 ssh 不顯示 banner。

在 CentOS 和 Red Hat 中默認就是不顯示 banner，所以關于這點不需要做額外的工作。但是在 Ubuntu 中，需要使用如下命令來禁用 banner：

sudo echo "DebianBanner no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

7，禁用所有 ssh 轉發

經常會有系統管理員通過 ssh 轉發來加密可能傳遞的明文信息，如果你不用的話，應該將其關閉。攻擊者可能會使用轉發來加密信息，所以你很難查看，或者使用授權的端口和服務獲取可能被阻止傳遞的信息。

在 CentOS 或 Red Hat 中，將如下內容添加到 /etc/ssh/sshd_config 中：

DisableForwarding yes

在 Ubuntu 中，添加 DisableForwarding yes 到 10-my-sshd-settings.conf 文件中，如下：

sudo echo "DisableForwarding yes" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

8，禁止 root 用戶登錄 ssh

幾乎每個 Linux 系統中都有 root 用戶，允許其登錄 ssh 是比較危險的。

在 CentOS 或 Red Hat 中，在文件 /etc/ssh/sshd_config 中找到 PermitRootLogin yes，將其改為：

PermitRootLogin no

Ubuntu 中，在10-my-sshd-settings.conf 文件中添加 PermitRootLogin no：

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

9，禁用基于密碼的 ssh 身份驗證

在禁用 ssh 密碼驗證之前，首先需要按照第 3 點中所屬配置和測試了基于密鑰的身份驗證。

我們在先前的文章中介紹過如何禁用基于密碼的 ssh 身份驗證，可參考：??如何禁止使用密碼通過 ssh 連接遠程服務器??

CentOS 或 Red Hat 中，在文件 /etc/ssh/sshd_config 中找到 PasswordAuthentication yes，將其改為：

PasswordAuthentication no

在 Ubuntu 中，在文件 10-my-sshd-settings.conf 中添加內容 PasswordAuthentication no：

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

10，忽略 rhosts

rhosts 與 rsh 相關聯，rsh 是一種被 secure shell 取代的遺留協議。如果用戶試圖創建惡意 rhosts 文件，此設置將忽略它。

CentOS 或 Red Hat 系統中，在文件 /etc/ssh/sshd_config 中找到 #IgnoreRhosts yes 將前面的＃刪掉（即注釋打開）：

IgnoreRhosts yes

Ubuntu 中，在文件 10-my-sshd-settings.conf 中添加 IgnoreRhosts yes：

sudo echo "IgnoreRhosts yes" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

11，安裝配置 fail2ban 來加強 ssh 安全性

Fail2ban會監視已配置服務（如SSH）的日志文件，并阻止惡意用戶的IP地址在設定的時間內多次嘗試后連接到您的服務器。

例如，如果攻擊者在三小時內進行了5次以上的失敗嘗試，他的IP地址將被封鎖12小時。

Fail2ban 也可以配置為保護其他服務，例如由 nginx web 服務器或 Apache web 服務器支持的網站。

12，配置自動安全更新（適用于Red Hat和CentOS）

如前所述，如果漏洞比較多，帶有漏洞的過時服務可能會讓攻擊者進入你的服務器，甚至無需登錄！快速應用安全更新以降低此風險至關重要。

Ubuntu 會默認啟用自動安全更新，所以無需執行更新操作。

要在 CentOS 和 Red Hat 上配置自動更新，需要安裝一個名為 dnf-automatic  的應用程序，并使用以下命令為其啟用計時器：?

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

然后通過如下命令來檢查一下：

sudo systemctl status dnf-automatic.timer