毋庸置疑,对于系统管理员,提高站群服务器的安全性是最重要的事情之一。因此,也就有了许多针对这个话题而生的文章、博客网站和论坛帖子。一台站群服务器由大量功能各异的部件组成,这一点使得很难根据每个人的需求去提供定制的站群解决方案。这篇文章尽可能涵盖一些有所裨益的小技巧来帮助管理员保证站群服务器和使用者安全。
有一些常识是每个系统管理员都应该烂熟于心的:
务必保证系统是最新的
经常更换密码 – 使用数字、字母和非字母的符号组合
给予使用者最小的许可权,满足他们日常使用所需即可
只安装那些真正需要的站群软件包
更改 SSH 预设埠
在搭建好一台全新的站群服务器后要做的第一件事情就是更改 SSH 的预设埠。这个小小的改动能够使你的站群服务器避免受到成千上万的暴力攻击(不更改预设埠相当于黑客们知道你家的门牌号,这样他们只需要一把一把的试钥匙就可能开启你家的锁)。
使用 SSH 金钥认证
在通过 SSH 访问站群服务器时,使用 SSH 金钥进行认证是尤其重要的。这样做为站群服务器增加了额外的保护,确保只有那些拥有金钥的人才能访问站群服务器。
关闭 SSH 的密码认证
既然已经有了 SSH 金钥,那么关闭 SSH 的密码认证就会更安全了。
关闭 Root 登入
下面关键的一步是关闭 root 使用者的直接访问,而使用 sudo 或 su 来执行管理员任务。首先需要新增一个有 root 许可权的新使用者。
设定防火墙
防火墙有助于过滤出入埠和阻止使用暴力法的登入尝试。我倾向于使用 SCF(Config Server Firewall) 这个强力防火墙。它使用了 iptables,易于管理,而且对于不擅于输入命令的使用者提供了 web 介面。
锁住账户
如果某个账户在很长一段时间内都不会被使用了,那么可以将其锁住以防止其它人访问。
了解站群服务器上的服务
站群服务器的本质是为各种服务提供访问功能。使站群服务器只执行所需的服务,关闭没有使用的服务。这样做不仅会释放一些系统资源,而且也会使站群服务器变得更加 安全。比如,如果只是执行一个简单的站群服务器,显然不需要 X 显示或者桌面环境。如果不需要 Windows 互联网共享功能,则可以放心关闭 Samba 。