第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法,那些都是比較容易實作、容易理解,對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置,需要管理員按照具體情況做出適當決定,甚至有部分建議在安全性和用戶體驗方面較具爭議性。
SSH 通常是我們進入新伺服器的第一個應用程式,它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊,登入的密碼和通訊內容都不容易被偷窺,預設的設定大致上安全,可惜由於需要兼顧舊用戶和舊系統,一些過時和不安全的選項仍然被開啟着,在國家級黑客橫行無忌的年代,系統中任何一顆鬆掉的螺絲都會致命,所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置,比較容易理解,過程也比較簡單,對用戶的負面影響也比較少,較進階和較具爭議性的安全配置將會留待下一篇討論。
我在一篇關於 CentOS 7 安全設定的文章討論到安裝防火牆 firewalld,這是 CentOS 7 新引入的防火牆系統,代替沿用多年的 iptables
,不過 firewalld
只能在 CentOS 7 的新內核使用,但是,如果你的 CentOS 7 不是運行最新的內核,便不能使用 firewalld
,應該怎麼辦?
CentOS 是最多人用來運行伺服器的 Linux 版本,最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後,首要的工作肯定是加強它的安全性,以下列出的七件事,是你進一步配置系統和安裝其他軟件前必須做的。
從前架設網站幾乎一定是光顧網站寄存服務,透過虛擬網站技術,一台實體機器裏「居住」了數十個甚至數百個網站,雖然每個網站所佔用的資源例如硬碟容量、網絡流量等等都受到限制,但一個惡意製作的網站程式仍然可以瞬間吞噬系統所有記憶體、CPU、Swap 空間等,甚至入侵其他網站盜取資料。隨著硬件的價格越來越便宜,虛擬作業系統越來越成熟,大量平價的 VPS 湧現,IT 人應該認真考慮從寄存服務遷移到 VPS。