本文将向您详细介绍基础的Linux服务器安全性维护对策，偏重于于Debian/Ubuntu，可是您能够将本文详细介绍的全部內容运用于别的Linux发售版。

升级你的服务器　　要维护服务器，您应当做的第1件事是升级当地储存库，并根据运用全新的补钉来升級实际操作系统软件和已安裝的运用程序流程。

有关Ubuntu和Debian:

$ sudo apt update && sudo apt upgrade -y

在Fedora，CentOS或RHEL上：

$ sudo dnf upgrade

2. 建立1个新的权利客户账号

接下来，建立1个新的客户账号。始终不必以root客户身份登陆服务器。相反，建立您自身的账号(<user>)，授予它sudo管理权限，并应用它登陆到您的服务器。

最先建立1个新客户：

$ adduser <客户名>

根据将（-a）sudo组（-G）额外到客户的构成员身份，授于新客户账号sudo管理权限：

$ usermod -a -G sudo <客户名>

3.提交您的SSH密匙

应用SSH密匙登陆到新服务器。您可使用ssh-copy-id指令将预先转化成的SSH密匙提交到新服务器：

$ ssh-copy-id

@ip_address

如今，您不用键入登陆密码便可登陆新服务器。

4. 安全性的SSH

接下来，开展下列3个变更：

禁用SSH登陆密码验证

限定root远程控制登陆

限定对IPv4或IPv6的浏览

应用您挑选的文字编写器开启/ etc / ssh / sshd_config并保证下列行：

PasswordAuthentication yes

PermitRootLogin yes

像这样：

PasswordAuthentication no

PermitRootLogin no

接下来，根据改动AddressFamily选项将SSH服务限定为IPv4或IPv6 。要将其变更为仅应用IPv4（对大多数数人来讲应当没难题），请开展下列变更：

AddressFamily inet

再次起动SSH服务以开启您的变更。请留意，在再次起动SSH服务器以前，与服务器创建两个主题活动联接。有了附加的联接，您能够在再次起动错误的状况下修补全部难题。

在Ubuntu上：

$ sudo service sshd restart

在Fedora或CentOS或任何应用Systemd的系统软件上：

$ sudo systemctl restart sshd

5. 开启防火墙

安裝防火墙，开启防火墙并对其开展配备，以仅容许您特定的互联网总流量。简单防火墙（UFW）是iptables的易于应用的页面，可大大简化防火墙的配备全过程。

您能够根据下列方法安裝UFW：

$ sudo apt install ufw

默认设置状况下，UFW回绝全部传入联接，并容许全部传来联接。这代表着服务器上的任何运用程序流程都可以以浏览互联网技术，可是任未尝试浏览服务器的內容都没法联接。

最先，保证您能够根据开启对SSH、HTTP和HTTPS的浏览来登陆：

$ sudo ufw allow ssh

$ sudo ufw allow http

$ sudo ufw allow https

随后开启UFW：

$ sudo ufw enable

您能够根据下列方法查询容许和回绝哪些服务：

$ sudo ufw status

假如您想禁用UFW，能够根据输入下列內容来禁用：

$ sudo ufw disable

您还可以应用firewall-cmd，它早已安裝并集成化到一些发售版中。

6. 安裝Fail2ban

Fail2ban是1个用于查验服务器系统日志以搜索反复或全自动进攻的运用程序流程。假如寻找任何內容，它将变更防火墙以永久性地或在特定的時间内阻拦进攻者的IP详细地址。

您能够根据输入下列內容来安裝Fail2ban：

$ sudo apt install fail2ban -y

随后拷贝随附的配备文档：

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

并再次起动Fail2ban：

$ sudo service fail2ban restart

该手机软件将持续查验系统日志文档以搜索进攻。1段時间后，该运用程序流程将创建许多的严禁IP详细地址目录。您能够根据下列方式恳求SSH服务确当前情况来查询此目录：

$ sudo fail2ban-client status ssh

7.删掉未应用的朝向互联网的服务

基本上全部Linux服务器实际操作系统软件都开启了1些朝向互联网的服务。将会您期待保存在其中大多数数，可是，必须删掉1些內容。您可使用ss指令查询全部正在运作的互联网服务：

$ sudo ss -atpu

ss的輸出将取决于您的实际操作系统软件。这是您将会看到的示例。它显示信息SSH（sshd）和Ngnix（nginx）服务正在侦听并提前准备联接：

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))

tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

删掉未应用的服务("<service_name>"）的方法将因您的实际操作系统软件及其应用的程序流程检修口理器而异。

要删掉Debian / Ubuntu上未应用的服务：

$ sudo apt purge

要在Red Hat / CentOS上删掉未应用的服务：

$ sudo yum remove

再度运作ss -atup以确定已不安裝和运作未应用的服务。

本文详细介绍了维护Linux服务器的1些基础流程。您还能够依据应用服务器的方法，开启别的安全性方式，包含单独运用程序流程配备、入侵防御系统手机软件和开启浏览操纵（比如，双向身份认证）等作用。