很少见有人马上为一台新安装的服务器做安全措施，然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后？我也做过相同的事，这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示，确保服务器安全没有你想得那样难。在攻击开始后，俯瞰你的“堡垒”，也相当享受。

这篇文章为 Ubuntu 12.04.2 LTS 而写，你也可以在任何其他 Linux 分发版上做相同的事情。

我从哪儿开始？
如果服务器已经有了一个公有IP，你会希望立即锁定 root 访问。事实上，你得锁定整个ssh访问，并确保只有你可以访问。增加一个新用户，把它加入admin组（在/etc/sudoers预配置以拥有sudo访问权限）。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
$ sudo addgroup admin
Adding group 'admin' (GID 1001)
Done.
 
$ sudo adduser spenserj
Adding user `spenserj' ...
Adding new group `spenserj' (1002) ...
Adding new user `spenserj' (1001) with group `spenserj' ...
Creating home directory `/home/spenserj' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for spenserj
Enter the new value, or press ENTER for the default
    Full Name []: Spenser Jones
    Room Number []:
    Work Phone []:
    Home Phone []:
    Other []:
Is the information correct? [Y/n] y
 
$ sudo usermod -a -G admin spenserj
你也将希望在你电脑上创建一个私有key，并且在服务器上禁用讨厌的密码验证。

1
2
$ mkdir ~/.ssh
$ echo "ssh-rsa [your public key]" > ~/.ssh/authorized_keys
/etc/ssh/sshd_config

1
2
3
4
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication no
AllowUsers spenserj
重新加载SSH，使用修改生效，之后尝试在一个新会话中登陆来确保所有事情正常工作。如果你不能登陆，你将仍然拥有你的原始会话来做修改。

1
2
3
$ sudo service ssh restart
ssh stop/waiting
ssh start/running, process 1599