31、服务器安全防护指南

服务器安全防护指南

在当今数字化的时代，服务器安全至关重要。本文将详细介绍一些实用的服务器安全防护策略，包括 OpenSSH 配置优化、Fail2ban 安装与配置、MariaDB 最佳实践以及防火墙设置等方面。

1. OpenSSH 安全配置

为了增强 OpenSSH 的安全性，以下是一些推荐的配置选项：

Port 65332
Protocol 2
AllowUsers larry moe curly
AllowGroups admins sshusers gremlins
PermitRootLogin no
PasswordAuthentication no

这些设置能够有效减少服务器被攻击的风险，例如禁止 root 登录和密码认证，可防止暴力破解。

2. Fail2ban 安装与配置

Fail2ban 是一款强大的安全工具，它可以监控服务器日志，对多次尝试登录失败的 IP 进行封禁。以下是安装和配置 Fail2ban 的详细步骤：
- 安装 Fail2ban ：

# apt-get install fail2ban

安装完成后，Fail2ban 守护进程会自动启动，并在系统启动时自动运行。
- 配置 Fail2ban ：
不建议直接使用默认配置文件 /etc/fail2ban/jail.conf ，因为在安装安全更新时，该文件可能会被覆盖。建议复制该文件并保存为 /etc/fail2ban/jail.local ：

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

然后，使用文本编辑器打开 /etc/fail2ban/jail.local 文件，进行以下重要设置：
- 设置白名单 ：在第 50 行，添加不想被 Fail2ban 封禁的网络：

ignoreip = 127.0.0.1/8 192.168.1.0/24 192.168.1.245/24

- **设置封禁时间**：第 59 行的 `bantime` 选项，指定主机被封禁的秒数，默认值为 600 秒：

bantime = 600

可以根据需要调整该值。
- 设置最大重试次数 ： maxretry 设置指定在 Fail2ban 采取行动之前允许的失败次数，默认值为 5：

maxretry = 5

如果认为 5 次不合理，可以进行调整，但建议最高不超过 7 次。
- 设置 SSH 端口 ：如果更改了 SSH 端口，需要在 [sshd] 和 [sshd-ddos] 部分将 port 选项修改为相应的端口号：

port = 65332

• 测试 Fail2ban ：每次更改配置后，需要重启 Fail2ban 并检查其状态：

# systemctl restart fail2ban
# systemctl status -l fail2ban

确保状态为 active (running) 。还可以使用以下命令查看已启用的 Jail：

# fail2ban-client status

• 启用 Jail ：默认情况下，除了 OpenSSH 的 Jail 外，其他 Jail 均处于禁用状态。要启用 Jail，在 /etc/fail2ban/jail.local 文件的相应配置块中添加 enabled = true 。例如，启用 apache-auth Jail：

[apache-auth]
enabled = true
port = http,https
logpath = %(apache_error_log)s

启用新 Jail 后，重启 Fail2ban 并检查状态：

# systemctl restart fail2ban
# systemctl status -l fail2ban

以下是 Fail2ban 配置和测试的流程图：

graph TD;
    A[安装 Fail2ban] --> B[复制配置文件];
    B --> C[编辑 jail.local 文件];
    C --> D[设置白名单];
    C --> E[设置封禁时间];
    C --> F[设置最大重试次数];
    C --> G[设置 SSH 端口];
    D --> H[测试 Fail2ban];
    E --> H;
    F --> H;
    G --> H;
    H --> I[启用 Jail];
    I --> J[重启 Fail2ban];
    J --> K[检查状态];

3. MariaDB 最佳实践

MariaDB 和 MySQL 是非常有用的数据库资源，但如果配置不当，可能会带来安全风险。以下是一些 MariaDB 安全配置的要点：
- 限制数据库服务器的访问 ：数据库服务器不应直接暴露在互联网上，建议仅允许内部服务器访问。可以通过 /etc/hosts.allow 和 /etc/hosts.deny 文件来限制访问：
- 编辑 /etc/hosts.allow 文件 ：添加允许访问数据库服务器的资源，例如：

ALL: 192.168.1.50
ALL: 192.168.1.0/255.255.255.0
ALL: 192.168.1.
ssh: 192.168.1.

- **编辑 `/etc/hosts.deny` 文件**：阻止不在 `/etc/hosts.allow` 文件中的所有流量：

ALL: ALL

• 用户安全 ：创建数据库用户时，应限制其访问权限。例如，仅允许从本地访问数据库：

GRANT SELECT ON mysampledb.* TO 'appuser'@'localhost' IDENTIFIED BY 'password';

避免使用通配符 % 允许从任何网络访问：

-- 不推荐
GRANT SELECT ON mysampledb.* TO 'appuser'@'%' IDENTIFIED BY 'password';

可以指定特定的 IP 地址或子网：

GRANT SELECT ON mysampledb.* TO 'appuser'@'192.168.1.50' IDENTIFIED BY 'password';
GRANT SELECT ON mysampledb.* TO 'appuser'@'192.168.1.%' IDENTIFIED BY 'password';

• 安全补丁 ：定期安装数据库服务器软件的安全补丁，以修复已知的安全漏洞。

4. 设置防火墙

防火墙是网络和安全设计中不可或缺的一部分，但要正确配置才能发挥其作用。
- 选择合适的防火墙 ：在 Ubuntu Server 中，推荐使用 Uncomplicated Firewall (UFW)，它是 iptables 防火墙的易用前端。
- 安装 UFW ：

# apt-get install ufw

• 配置 UFW ：
  • 允许 SSH 访问 ：为了避免在启用防火墙后无法通过 SSH 访问服务器，需要先允许 SSH 流量：

# ufw allow from 192.168.1.156 to any port 22

也可以允许整个子网的访问：

# ufw allow from 192.168.1.0/24 to any port 22

- **允许其他端口**：根据服务器的需求，允许其他必要的端口。例如，对于 Web 服务器，允许 HTTP 和 HTTPS 流量：

# ufw allow 80
# ufw allow 443

• 启用 UFW ：

# ufw enable

启用后，防火墙将在系统启动时自动运行。
- 查看 iptables 规则 ：如果想查看当前的 iptables 防火墙规则，可以使用以下命令：

# iptables -L

通过以上的安全配置和设置，可以有效增强服务器的安全性，降低被攻击的风险。但需要注意的是，安全是一个持续的过程，需要定期检查和更新配置，以应对不断变化的安全威胁。

服务器安全防护指南

5. 安全策略总结与表格梳理

为了更清晰地总结上述各项安全策略，下面通过表格的形式呈现：
| 安全措施 | 具体配置或操作 | 作用 |
| — | — | — |
| OpenSSH 安全配置 | Port 65332 、 Protocol 2 、 AllowUsers larry moe curly 、 AllowGroups admins sshusers gremlins 、 PermitRootLogin no 、 PasswordAuthentication no | 减少服务器被攻击风险，防止暴力破解 |
| Fail2ban 安装与配置 | 安装： apt-get install fail2ban ；配置：复制 jail.conf 为 jail.local 并编辑；测试： systemctl restart fail2ban 、 systemctl status -l fail2ban 、 fail2ban-client status ；启用 Jail：添加 enabled = true | 监控服务器日志，封禁多次登录失败的 IP |
| MariaDB 最佳实践 | 限制访问：编辑 /etc/hosts.allow 和 /etc/hosts.deny ；用户安全：合理使用 GRANT 命令；安全补丁：定期安装 | 保护数据库安全，防止数据泄露 |
| 防火墙设置 | 安装 UFW： apt-get install ufw ；配置：允许 SSH 及其他必要端口；启用： ufw enable ；查看规则： iptables -L | 控制网络端口访问，增强服务器防护 |

6. 不同安全措施的优先级与依赖关系

不同的安全措施之间存在一定的优先级和依赖关系，以下是相应的 mermaid 流程图：

graph LR;
    A[OpenSSH 安全配置] --> B[Fail2ban 安装与配置];
    C[MariaDB 最佳实践] --> D[防火墙设置];
    B --> D;

从流程图可以看出，OpenSSH 安全配置是基础，为后续的 Fail2ban 配置提供了更安全的 SSH 环境。MariaDB 的安全配置和防火墙设置相互配合，共同保障服务器的整体安全。而 Fail2ban 的配置也需要在 OpenSSH 配置之后进行，以更好地监控 SSH 登录情况。

7. 常见问题与解决方案

在实施上述安全措施的过程中，可能会遇到一些常见问题，下面进行详细解答：
- Fail2ban 无法启动 ：
- 原因 ：配置文件中存在错误，如 ignoreip 、 bantime 、 maxretry 或 port 等设置不正确。
- 解决方案 ：检查配置文件 /etc/fail2ban/jail.local ，确保各项设置符合要求。使用 systemctl status -l fail2ban 查看详细的错误信息，根据提示进行修改。
- 防火墙阻止了必要的流量 ：
- 原因 ：在配置 UFW 时，没有正确允许必要的端口或 IP 地址。
- 解决方案 ：检查 UFW 的配置，使用 ufw status 查看当前规则。如果发现阻止了必要的流量，使用 ufw allow 命令添加相应的规则。例如，如果发现 SSH 无法连接，可以使用 ufw allow from <your_ip> to any port 22 允许特定 IP 的 SSH 访问。
- MariaDB 无法远程访问 ：
- 原因 ：用户权限设置不当，如使用了 'appuser'@'localhost' 而需要远程访问；或者 /etc/hosts.allow 和 /etc/hosts.deny 文件配置错误。
- 解决方案 ：检查 GRANT 命令，根据需要修改为 'appuser'@'%' 或特定的 IP 地址。同时，检查 /etc/hosts.allow 和 /etc/hosts.deny 文件，确保允许了相应的访问。

8. 持续安全维护建议

服务器安全是一个持续的过程，需要定期进行维护和检查：
- 定期更新配置 ：随着服务器环境的变化，如添加新的服务、更改端口等，需要及时更新 OpenSSH、Fail2ban、MariaDB 和防火墙的配置。
- 监控日志 ：定期查看服务器日志，包括 SSH 登录日志、Fail2ban 日志、MariaDB 日志和防火墙日志等，及时发现异常活动。
- 安全审计 ：定期进行安全审计，检查服务器的安全策略是否仍然有效，是否存在新的安全漏洞。
- 员工培训 ：对服务器管理人员和相关员工进行安全培训，提高他们的安全意识，避免因人为操作失误导致安全问题。

通过以上全面的服务器安全防护策略，结合持续的安全维护，可以大大增强服务器的安全性，有效抵御各种潜在的安全威胁。在实际应用中，应根据服务器的具体用途和环境，灵活调整和优化各项安全措施。