我正在用Ubuntu Server 12.04创build一个全新的VPS。 我想问你一些适用于增强股票Ubuntu服务器安全性的最佳实践。
这就是我现在所做的: 我添加了Google Authenticator到SSH ,然后我创build了一个新用户(我将用它来代替“root”用于SSH和SFTP访问),我将它添加到我的/ etc / sudoers列表中'根',所以现在是:
# User privilege specification root ALL=(ALL:ALL) ALL new_user ALL=(ALL:ALL) ALL 然后我编辑sshd_config并将PermitRootLogin设置为“no”。 然后重新启动ssh服务。
这个可以吗? 有几件事我想问你:
1)在root用户仍然存在的情况下添加一个新的(sudoer)用户有什么意义(确定它不能以root权限访问,但是仍然存在)。 2)系统文件属于'根'..我想用我的new_user通过SFTP访问,但与它我不能编辑这些文件! 我应该mass-chmod'em,以便new_user也写perm? 这有什么好的做法?
在此先感谢您,我希望您能告诉我我是否做了错误的事情和/或其他方式来保护系统。 🙂
这是一个好的开始。
new_user帐户将通过“sudo”命令获得更高的权限。 这要求在提示时inputnew_user的密码(并记住一段时间,所以不是每次使用它),因此比一直具有较高特权的常规root帐户更安全。
要查看root拥有的日志文件,您可以运行sudo less /var/log/foo ,然后inputnew_user帐户的密码。
要禁用“root”帐户,可以使用passwd命令。
sudo passwd -d root
这将删除密码。 如果您只希望禁用该帐户并希望能够在必要时恢复该帐户,则-l和-u选项将分别locking和解锁帐户。
你可能也有兴趣改变SSH端口,改变iptables中的授权IP范围,不使用sudo,并使用一个非常强大的root密码。