我刚刚安装完毕Ubuntu 服务器 12.10在华硕Eee PC 1000H(用作家庭服务器/沙箱)来自 USB。我在安装过程中安装了此软件:
- OpenSSH 服务器
- LAMP 服务器
- Samba 文件服务器
- 虚拟机主机
不过我暂时不会使用 2、3 或 4。我可以/应该以某种方式关掉它们吗?
- 我已经打开主目录加密。
- 安全更新会自动安装。
- 我为单个用户选择了一个强密码。
我至今还没有插过网线。在插网线之前我想问一下:
在连接到互联网之前我可以/应该做什么/安装什么来提高安全性?
防火墙?Fail2ban?用户/密码?加密?启用/禁用功能?等等。
很抱歉您经常被问到这个问题。我搜索了好久,但还是觉得我可能忽略了一些重要的东西。
答案1
如果您将此服务器连接到多个设备连接的路由器以访问互联网,则您的网络很可能已经位于 NAT 防火墙后面,因此,除非您专门配置路由器以允许这样做,否则任何人(包括您自己)都无法从外部联系您的服务器。
如果你直接接入互联网,情况就完全不同了。我建议如下:
- 学习 iptables 或 ufw,它们都是 Ubuntu 附带的防火墙配置工具。如果您使用任何类型的 Linux 服务器进行任何操作,那么它们实际上是必不可少的。它们都可以让您非常具体地了解如何以及从何处访问您的服务器。通常防火墙默认打开所有内容,您需要将服务器防火墙配置为默认关闭所有内容并仅打开您需要的内容。
https://help.ubuntu.com/community/UFW
http://www.netfilter.org/projects/iptables/index.html
- 确保知道所有要运行的服务器的所有端口号。根据您列出的内容,SSH 默认为端口 22,因此一定要关闭该端口,fail2ban 也是推荐的工具。可能需要将 SSH 的默认端口从 22 更改为其他端口,这可以在 SSH 配置文件中完成。使用 LAMP 堆栈,您需要监视 80 和可能的 443,MySQL 在 3306 上运行,但通常 MySQL 默认只在本地主机上监听。Samba 在 137-139 和 445 上监听。
答案2
回答你的第一个问题:经验法则是 - 永远不要暴露超过你需要的信息。如果你不使用某项服务,那么开启它们真的毫无意义。
答案3
只要接入互联网...此外,没有互联网你甚至无法获得安全软件。你怎么下载它们?
答案4
我认为没有人指出如何“关闭”不需要的服务/软件......
LAMP 服务器
服务 apache2 停止 [启动/重启]
Samba 文件服务器
服务 smbd 停止 [启动/重启]
虚拟机主机:嗯…不要运行它!