安裝 CentOS 7 後必做的七件事
阿恆
CentOS 是最多人用來運行伺服器的 Linux 版本,最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後,首要的工作肯定是加強它的安全性,以下列出的七件事,是你進一步配置系統和安裝其他軟件前必須做的。
1. 更改 root 密碼
若果你是自行安裝 CentOS 7 的話,安裝程序會讓你自行設定 root 的密碼。不過很多 VPS 服務商只會提供預先安裝好的 CentOS 7 映像檔,這種情況下他們會透過主控界面告訴你 root 的密碼,這個密碼的安全性誰也不知道,它是如何產生的呢?隨機性可靠嗎?複雜性足夠嗎?服務商的伺服器是否記錄了密碼的副本?我們實在有必要第一時間重設這個密碼。
首先使用 ssh
登入伺服器,在 Windows 可以使用 Putty、Tera Term、或者在 Cygwin 環境下執行 OpenSSH。在 Mac 和 Linux 上只需在終端機 (terminal) 中執行以下指令便可以了,比 Windows 簡單得多:
由於你從來沒有使用過 ssh 聯繫到這台伺服器,你的電腦會把伺服器的加密公鑰下載,然後詢問你是否信任它,這台新鮮安裝好的 CentOS 7 應該還未引起黑客的興趣,也不大可能在這麼短的時間內被攻陷,所以可以放心接受這個加密公鑰。跟著輸入 root 的密碼登入伺服器:
登入後立即更改 root 的密碼,你需要輸入新密碼兩次:
好的密碼應該同時包含數字、小寫英文字母、大寫英文字母、和標點符號,最少 15 個字符,這樣的密碼強度大概有 90 bit,勉強可以應付密碼被「暴力破解」,當然我假設了你的密碼是真正隨機產生,有些人喜歡把個人資料例如名字、出生日期、車牌號碼、地址、配偶和子女的名字等等崁入密碼中,或者使用字典裏的字詞拼湊密碼,這樣密碼的強度將會大幅下降,甚至不堪一擊,這些問題我曾經在《如何管理密碼?》討論過。
網上有很多隨機密碼產生器,例如 RANDOM.ORG,大都可用,但記緊必須使用 HTTPS 造訪這些網站。如果你有使用「密碼夾萬」一類的軟件,不妨使用它們內建的密碼產生器。
完成後 不要 登出系統,使用另一個視窗用新密碼嘗試登入,即使失敗也可以在原來的視窗重複以上步驟。
2. 新增一個普通帳號
這一步連同下一步,相當於為一個城市築起兩道城牆,既可加強防衛,也建立了一道警報機制,當敵人(黑客)卒然來襲,第一道城牆被襲擊和破壞,我們還有第二道城牆阻延一下,有時間部署防衛甚至反擊。所以這是一個很多人忽略,但其實非常重要的步驟。
首先我們新增一個帳號:
這個新帳號 ahhang 沒有預設密碼,即是說登入 ahhang 時系統不用輸入密碼!所以我們立即要設定密碼:
有些人認為不應該把建立帳號和設定密碼兩件事分開來做,一來可能會不慎遺忘,二來也給黑客一道時間縫隙登入這個新帳號,所以他們會在 adduser
指令中一併提供加密後的預設密碼,方法是加入 -p
參數,不過這樣做也有風險,因為黑客可以透過列出系統的進程,得知加密了的新密碼,然後把密碼破解。
3. 禁止 root 使用 ssh 登入
CentOS 7 預設容許任何帳號透過 ssh
登入,包括 root 和一般帳號,為了不讓 root 帳號被黑客暴力入侵,我們必須禁止 root 帳號的 ssh
功能,事實上 root 也沒有必要 ssh
登入伺服器,因為只要使用 su
或 sudo
(當然需要輸入 root 的密碼) 普通帳號便可以擁有 root 的權限。使用 vim
(或任何文本編輯器) 開啓 /etc/ssh/sshd_config
,尋找:
|
|
修改為:
|
|
最後輸入以下指令重新啟動 sshd
:
|
|
這樣黑客要取得 root 的權限,必須破解 root 和一個普通用戶的密碼,難度增加了。
完成後 不要 登出系統,使用另一個視窗嘗試登入 root 和普通帳號,測試無誤便可進行下一步。
4. 使用非常規的 ssh 端口
Ssh
預設使用端口 22,這是在 IANA 註冊的官方端口,但沒有人說 ssh 不能使用其他端口,很多黑客專門向伺服器的 22 端口發動攻擊,即使你的伺服器固若金湯、牢不可破,但是要系統日以繼夜接受攻擊,消耗的系統資源(網絡、處理器、記憶體等等)也不會少,何況它是否真的牢不可破還說不定呢!所以有必要讓 ssh
使用其他端口,只讓有權使用 ssh
的用戶知道。
使用 vim (或任何文本編輯器) 開啓 /etc/ssh/sshd_config
,尋找:
|
|
修改為:
|
|
你可以把 10837 改為任何 1024 – 65535 之間的任何數字,若果怕與某些系統服務發生衝突,可以參考一下這裏。
跟著重新啟動 sshd
:
|
|
然後是設定防火牆,CentOS 7 的內核已經有防火牆 netfilter
,但你的系統未必安裝了用戶界面,較前版本的 CentOS 預設使用 iptables
,但 CentOS 7 開始使用效能更高、穩定性更好的 firewalld
,若果伺服器尚未安裝 firewalld
,可以使用以下指令安裝,不確定是否已經安裝的話也可以輸入這個指令,它會告訴你已經安裝然後退出。
|
|
跟著啟動:
|
|
設定 firewalld
的方法有兩個,第一個是修改 firewalld
有關 sshd
的設定,把端口 22 改為 10837,這是正統的做法,但步驟比較多;第二個是要求 firewalld
開啓端口 10837,不指定它屬於哪一個服務,這個做法通常處理臨時的端口開啓/封鎖,步驟簡單,但是日後你要是忘記了這個端口為甚麼開啟了呢?甚麼時候開啟的呢?為了哪一項服務開啟呢?可能有點麻煩。我兩種方法都會介紹一下,但作為專業的系統管理員(即使不是真正的專業,也應該具備這樣的心態),我推薦使用第一種方法。
設定防火牆方法一:
複製 firewalld
有關 sshd
的設定檔案:
|
|
使用 vim
(或任何文本編輯器) 開啓 /etc/firewalld/services/ssh.xml
,尋找:
|
|
修改為:
|
|
儲存後重新載入 firewalld
:
|
|
設定防火牆方法二:
輸入以下指令:
|
|
就是這樣簡單!
不論使用哪種方法,完成後 不要 登出系統,使用另一個視窗嘗試登入,例如:
|
|
5. 啟用公鑰驗證登入 ssh
現在只有普通帳號才能透過 ssh
登入伺服器,但是 ssh
提供一個更先進更安全的驗證方法:公鑰驗證法。
首先每一名用戶建立一對加密鑰匙(密鑰和公鑰),密鑰儲存在日常使用的電腦,公鑰則儲存在伺服器,使用 ssh
聯繫到伺服器的時候,電腦會把一些建立連線請求的資料,其中包括帳號名稱和公鑰,並且把部分資料用密鑰製作數碼簽署,一股腦兒送到伺服器,伺服器檢查自己的「公鑰庫」是否包含送來的公鑰,有的話再驗證數碼簽署,成功的話便直接登入伺服器,無需輸入帳號密碼。
第一步在日常使用的電腦上使用 ssh-keygen
指令建立一對加密鑰匙,它會詢問儲存加密鑰匙的檔案名稱,和把鑰匙加密的密碼,檔案名稱使用預設的路徑和名稱便可以,密碼則無需輸入:
這個指令會創造兩個檔案,一個名為 id_rsa
,是你的 RSA 密鑰,另一個是 id_rsa.pub
,是你的 RSA 公鑰。公鑰必需上傳到伺服器並且附加於用戶帳號裏面的 .ssh/authorized_keys
檔案中,這個檔案儲存所有可透過 ssh
登入到這一個帳號的公鑰,一行一條公鑰:
順便一提,目錄 .ssh
和 authorized_keys
除了 owner 之外,其他人均不能有寫入的權限,否則 sshd
不會讀取,換句話說,兩者最寬鬆的權限是 755:
使用公鑰驗證法登入 ssh
又省力又安全,因為我們不用輸入密碼,自然也沒有密碼被盜取的憂慮,簡簡單單地輸入連線指令便可以了。
但是存放在日常電腦中的密鑰卻帶來新的安全隱患,萬一密鑰被盜取了,其他人豈不是可以隨便登入伺服器?現在是「雙重驗證」(two-factor authentication) 隆重登場的時候,雙重驗證的理念是我們必須向伺服器證明兩種不同性質的東西,才能成功驗證身份,第一樣是我們知道甚麼,第二樣是我們擁有甚麼。首先伺服器會要求我們輸入密碼,我們知道密碼,過了第一關。跟著伺服器要求我們證明擁有公鑰驗證法中的密鑰,透過上面的設定程序我們也通過了驗證,過了第二關。現在伺服器才會讓我們進入系統。
設定 ssh 的雙重驗證法很簡單,使用 vim
(或任何文本編輯器) 開啓 /etc/ssh/sshd_config
,在檔案的末端假如這一行:
|
|
它告訴伺服器用戶必須擁有合法的公鑰,和輸入正確的密碼才能成功登入。修改完成後重新啟動 sshd
:
|
|
完成後 不要 登出系統,使用另一個視窗嘗試登入,測試無誤便可進行下一步。
6. 更新、更新、每天更新、每天自動更新
每一天都有成千上萬的黑客在世界各地尋找 Linux 系統和常見軟件的安全漏洞,一有發現便會發動規模龐大而迅速的網絡攻擊,務求在我們來得及反應前把系統攻陷。不要以為黑客都只是十來歲的年輕小毛頭,大部分黑客背後都有勢力龐大、資源幾乎無限的國家機構支持,有些甚至屬於這些機構的雇員,美國的 NSA,英國的 GQHC,中國的無名黑客隊伍,都是比較明目張膽由國家支持的網絡黑幫,可見我們的系統時時刻刻都被凶狠之徒盯著,保持軟件在最新的狀態是其中一項我們必須做,也很容易做到的工作。
首先我們立即手動更新所有預先安裝的軟件:
|
|
跟著設定系統定時自動更新,第一步確定伺服器是否安裝了自動執行指令的工具,跟著使用 yum
一個名叫 yum-cron
插件。
CentOS 7 使用數個軟件來自動執行指令:cron
、anacron
、at
和 batch
,其中 cron
和 anacron
用來定期重複執行指令,At
和 batch
則用來在特定時間執行一次性的指令。我們將會使用 cron
和 anacron
,兩者的分別這裏不細表了,將來有機會再討論,現在使用以下指令安裝 cron
和 anacron
:
|
|
下一步就是安裝 yum-cron
:
|
|
其實你可以使用一個指令同時安裝 cronie
和 yum-cron
,甚至單獨安裝 yum-cron
也可以,因為 yum
會自動檢測到 yum-cron
需要 cronie
然後自動替你安裝,上面分開兩個指令純粹令大家容易明白。
完成後系統多了數個檔案,比較重要的包括:
/etc/cron.daily/0yum.cron
Anacron
每天執行這個檔案一次,它根據配置檔案 /etc/yum/yum-cron.conf 來更新軟件/etc/yum/yum-cron.conf
這是每天執行
yum-cron
的配置檔案,預設只會下載更新的軟件,並不安裝,用意是讓管理員檢視yum-cron
的輸出,選取需要更新的軟件進行手動安裝。
跟著我們修改配置檔案,讓 yum-cron
自動更新軟件,使用 vim
(或任何文本編輯器) 開啓 /etc/yum/yum-cron.conf,尋找:
|
|
修改為:
|
|
確認一下 update_messages = yes
, download_updates = yes
, apply_updates = yes
,正如下圖:
最後,啟動 crond
和 yum-cron
:
|
|
7. 防火牆
防火牆的作用好比網絡警察,它監察所有進出系統的 IP 封包,哪些端口容許封包進入,哪些端口容許封包外出等等,都由防火牆控制,保護使用這些端口的應用程式,所以設定防火牆是極重要的工作。
過濾封包功能的 netfilter 已經內建在 CentOS 7 的內核,但是配置 netfilter 的界面程式 firewalld 卻未必有安裝,不論是否已經安裝,都可以執行下面的安裝指令:
|
|
跟著查看一下防火牆現在開啟了哪些服務和端口:
|
|
上圖可見防火牆只開啟了 DHCP 客戶端和 ssh 兩個服務的通訊端口,倘若日後安裝了其他網絡軟件,例如網站伺服器、域名伺服器等等,必須要檢查安裝程式有否開啓他們的通訊端口,沒有的話便要手動開啓。如果好像前面第四點那樣使用了非常規的通訊端口,也可能要手動配置防火牆,防火牆詳細的配置方法超出了本文的討論範圍,將來有機會再談。