一����、用戶概述
默認(rèn)狀況下,ubuntu server的root用戶是不啟用的�,一般用戶通過(guò)在命令前加前綴”sudo”,來(lái)暫時(shí)獲得管理員權(quán)限����。隨后會(huì)提示輸入password��,此password與一般用戶的密碼一樣����。也可以通過(guò) sudo –i來(lái)將一般用戶提升為超級(jí)用戶。
啟用root帳號(hào)僅需運(yùn)行sudo passwd root����,然后根據(jù)提示輸入密碼即可激活root.如果要關(guān)閉root用戶�,僅需運(yùn)行 sudo passwd –l root即可���。
Root帳號(hào)的密碼和普通用戶使用sudo的密碼沒(méi)有任何聯(lián)系�。root帳號(hào)和普通帳號(hào)的sudo不同之處在于,使用root帳號(hào)登陸后權(quán)限始終為管理員權(quán)限����,而普通帳號(hào)的sudo,僅在執(zhí)行某一命令時(shí)是管理員權(quán)限,當(dāng)執(zhí)行完命令后又會(huì)自動(dòng)降為普通用戶權(quán)限�。
二�����、用戶密碼的設(shè)置與恢復(fù)
使用命令 sudo passwd user-name,然后根據(jù)提示輸入sudo密碼���,如果驗(yàn)證通過(guò)�,則會(huì)提示為user-name輸入新密碼�。此命令同樣可以為root設(shè)置和恢復(fù)密碼。
三�、GRUB的安全性
GRUB用于引導(dǎo)系統(tǒng)及進(jìn)行系統(tǒng)恢復(fù)�����?���?梢酝ㄟ^(guò)對(duì)其進(jìn)行添加操作密碼的方式�����,來(lái)增加其安全性����。主要是對(duì)”/boot/grub/menu.lst”進(jìn)行修改����。示例如下:
沒(méi)有修改前:
default 0 /p>
p>timeout 10 /p>
p>title Ubuntu,kernel 2.6.15-26-server-LAMP /p>
p>root (hd0,2) /p>
p>kernel /boot/vmlinuz-2.6.15-server root=/dev/hda3 ro quiet splash /p>
p>initrd /boot/initrd.img-2.6.15-server /p>
p>savedefault /p>
p>boot
修改后:
default 0 /p>
p>timeout 10 /p>
p>password=12345 /p>
p>title Ubuntu,kernel 2.6.15-26-server-LAMP /p>
p>lock /p>
p>root (hd0,2) /p>
p>kernel /boot/vmlinuz-2.6.15-server root=/dev/hda3 ro quiet splash /p>
p>initrd /boot/initrd.img-2.6.15-server /p>
p>savedefault /p>
p>boot
然后reboot系統(tǒng)�,待出現(xiàn)GRUB畫面時(shí),將光標(biāo)移到該選項(xiàng)處,按下‘p’��,輸入密碼12345即可����。通過(guò)這種方式���,可以有效地防止通過(guò)recovery mode進(jìn)行惡意破壞�,如修改root密碼等��。
由于以上方式的密碼是以明文的形式出現(xiàn)在menu.lst中���,也具有危險(xiǎn)性����,因此可采取對(duì)其加密的方式。具體如下:
sudo grub-md5-crytp ,然后根據(jù)提示輸入兩遍 12345(請(qǐng)更改為任意字符),之后出現(xiàn)31個(gè)字符,記錄下該字符串。將password=12345 修改為password --md5 31位字符串���,reboot系統(tǒng)即可�。
四����、使用救援光碟恢復(fù)系統(tǒng)
當(dāng)忘掉GRUB密碼或因某種原因GRUB無(wú)法啟動(dòng),此時(shí)即可使用救援光碟。將光碟放入CDROM���,reboot系統(tǒng)���,待出現(xiàn)啟動(dòng)條目時(shí),移動(dòng)光標(biāo)至”Resuce broken system”.隨后會(huì)自動(dòng)監(jiān)測(cè)系統(tǒng)硬件����,如語(yǔ)言種類��、網(wǎng)路接口����、硬盤等�����。最后將出現(xiàn)命令行選項(xiàng):
Execute a Shell in /dev/discs/disc0/part1 /p>
p>Execute a Shell in the installer environment /p>
p>Reinstall GRUB boot loader /p>
p>Choose a different root file system /p>
p>Reboot the system
選擇第一項(xiàng)����,隨后進(jìn)入bash shell。
注意:/dev/discs/disc0/part1 中的part1表示欲恢復(fù)的系統(tǒng)安裝的分區(qū)�����,應(yīng)根據(jù)實(shí)際情況選擇����。
五、Summary
處于安全考慮:
1 root帳戶應(yīng)該disable;
2 GRUB應(yīng)設(shè)置MD5密碼�����;
3 應(yīng)設(shè)置BIOS,使禁止從CD-ROM啟動(dòng)系統(tǒng)����。
六、確保SSH的安全性
SSH對(duì)于遠(yuǎn)程管理一臺(tái)服務(wù)器來(lái)說(shuō)是一個(gè)好方法�。然而����,SSH仍然存在著諸多問(wèn)題�。服務(wù)器和客戶端的通信是安全的����,不過(guò)這并不意味著涉及到的主機(jī)也是安全的。向外部世界打開(kāi)一個(gè)SSH服務(wù)也就意味著允許強(qiáng)力攻擊�。
我們可以采取一些極為簡(jiǎn)單的方法來(lái)真正地強(qiáng)化經(jīng)由SSH的遠(yuǎn)程訪問(wèn)���,特別是我們不能將這種服務(wù)與源端口的一個(gè)有限數(shù)量相聯(lián)系時(shí)�。
先說(shuō)一件重要的事情,sshd_config����。在Ubuntu中�,這通常在/etc/ssh中可以找到,它可以用于配置大量的特性���。最簡(jiǎn)單的往往是最好的。限制可以通過(guò)SSH登錄的用戶是一個(gè)首要的原則���。這可以用如下兩種方法完成:根據(jù)用戶或者根據(jù)組�。AllowGroups允許一個(gè)組的任何經(jīng)鑒定的用戶通過(guò)SSH訪問(wèn)服務(wù)器�。不過(guò),一個(gè)更加精細(xì)的方法是使用AllowUsers選項(xiàng)�����。
另一個(gè)簡(jiǎn)單的方法是將監(jiān)聽(tīng)端口從22號(hào)端口移到某個(gè)其它的隨機(jī)指定的端口�����。這就減少了顯示SSHD運(yùn)行狀態(tài)掃描的可能性����。
我們還可以禁用對(duì)根的訪問(wèn)�,并禁用口令驗(yàn)證而只使用密鑰驗(yàn)證�����。
下一步就是使用一個(gè)稱為Denyhosts的小工具,大家可以從http://denyhosts.sourceforge.net/下載它�。我們一定要保證啟用/etc/apt/source.list中的資源�,然后鍵入下面的命令:
sudo apt-get update
sudo apt-get install denyhosts
DenyHosts意在由Linux系統(tǒng)管理員運(yùn)行����,以幫助其挫敗對(duì)SSH服務(wù)器的攻擊(也稱為基于字典的攻擊或強(qiáng)力攻擊)的企圖��。
DenyHosts充當(dāng)著一個(gè)對(duì)SSH和其它服務(wù)的動(dòng)態(tài)阻擊器,它依靠/etc/hosts.deny和 hosts.allow進(jìn)行工作,并能夠以動(dòng)態(tài)方式構(gòu)建重復(fù)地與我們的服務(wù)器連接的主機(jī)列表。默認(rèn)情況下����,這項(xiàng)服務(wù)會(huì)阻止來(lái)自那些不斷地試圖與我們的主機(jī)連接并實(shí)施訪問(wèn)的IP地址源���。Denyhosts的處理在/etc/denyhosts.conf中進(jìn)行配置���。
我們還可以通過(guò)Iptables行連接速率的限制�����,而且我們還應(yīng)該在服務(wù)器上部署防火墻����。
一旦這些布置停當(dāng)���,我們就會(huì)確信自己在一臺(tái)面向公眾的主機(jī)上擁有了一個(gè)更加安全的SSH����。
