对于一台新服务器权限的配置

标签: linux 权限 | 发表时间:2015-05-28 16:09 | 作者:肆意的青春
出处:http://segmentfault.com/blogs

作为一个程序员,在网站没有运维的情况下,也要有能够搭建应用的能力,由于不是专业的运维所以考虑的问题可能不够全面,只顾着把应用搭起来,权限管理非常地松,认为只要登陆 root 可以运行命令就行了,这样的话会有很多后患的,有的时候只是未爆发出来,当爆发出来就已经晚了。

以下是我对一台新服务器的权限的实例,欢迎大家拍砖。

一、技术人员通过自己的普通用户权限进入系统,然后如果要运行需要 root 执行的就用 sudo 去执行就好,如果有多人要登录,则每人配一个帐号。

二、服务器上应该禁止密码登录,因为密码登录有一定的漏洞,有的技术人员设的密码跟没搞过计算机一样来个 123456,这个密码就相当于是个后门了。

三、由于每个人都有了帐号,那么更理所当然的要把 root 用户禁止登录,通过经验得知,如果不禁止,有的人还要登 root,原因可能有以下三点

  1. 不明白为什么要有普通帐号
  2. 对安全看的太轻,认为每次都要 sudo 去运行一个 root 权限才执行的命令很麻烦
    用户管理
  3. 可能不懂权限,或许听说过,但绝对没用过

四、修改默认 ssh 端口

添加帐号

  $ useradd bob
$ mkdir -p /home/bob
$ chown -R bob.bob /home/bob

$ gpasswd -a bob sudo // 给用户有 sudo 的权限
$ passwd bob  设置一个密码,这个是作为当用户想要 sudo 去执行 root 执行的时候使用的

本地配置免密码登录

本地 ssh-keygen 生成一串密钥

  本地 $ ssh-keygen
  /Users/bob/.ssh/some-app-server_id_rsa
  本地 $ ssh-copy-id -i .ssh/some-app-server_rsa bob@remote-server-address

配置ssh 客户端,方便以后连接服务器。

    本地 $ vim ~/.ssh/config
  Host some-app-server
    Hostname remote-server-address
    User bob
    Port 19422
    IdentityFile ~/.ssh/some-app-server_id_rsa

以后连接服务器就可以直接 $ ssh some-app-server 就可以用你的权限登录进去了。

配置 ssh 服务端

  $ vi /etc/ssh/sshd_config
PasswordAuthentication no //禁止使用基于口令认证的方式登陆
PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
Port 19422 // 把 ssh 端口改成 19422 这个别固定,你可以随便用,本地要连接服务器,本地的端口得保持一致。
PermitRootLogin no // 不允许 root 远程登录

重户服务器 $ reboot 使配置生效

本人再推荐一个 zshoh-my-zsh 有了这个,命令行就智能了好多,操作起来非常地方便,有兴趣的自己去找找文档。

会一样东西不是本事,从不会到会的,才是真本事

相关 [于一 服务器] 推荐:

对于一台新服务器权限的配置

- - SegmentFault 最新的文章
作为一个程序员,在网站没有运维的情况下,也要有能够搭建应用的能力,由于不是专业的运维所以考虑的问题可能不够全面,只顾着把应用搭起来,权限管理非常地松,认为只要登陆 root 可以运行命令就行了,这样的话会有很多后患的,有的时候只是未爆发出来,当爆发出来就已经晚了. 以下是我对一台新服务器的权限的实例,欢迎大家拍砖.

kernel.org服务器遭入侵

- Lamo - Solidot
kernel.org网站首页发布公告,声称多台服务器在本月初(8月12日前)遭黑客攻击,他们在8月28日发现了入侵. 入侵者利用一位用户凭证获得了服务器根访问权限,他们正在调查黑客是如何提升权限的;系统启动脚本被加入了一个木马启动文件;ssh相关文件被修改. kernel.org声称,他们相信Linux kernel源代码库未受影响,因为git分布式版本控制系统的特性决定了它可以很容易注意到代码变化.

Ubuntu下赌ARM服务器

- Tim - Solidot
今日无数手机平板使用的低能耗处理器能否撑起未来的服务器市场. Canonical计划推出支持ARM架构的Ubuntu服务器版本. Ubuntu Linux并不是x86服务器市场的重量级选手,Red Hat才是. 但通过与ARM合作打造ARM服务器,Canonical正努力赢得更多市场份额. 计划于2011年10月发布的Ubuntu Server 11.10,将同步推出支持x86、x86-64和ARM架构的版本.

Windows 搭建VPN服务器

- 洋白菜 - iGFW
Windows XP搭建PPTP VPN. 普通用户,在家里也可以搭建自己的VPN. 需要将服务器端的电脑直接放置于外网访问下,若是ADSL拨号的话,可以用此电脑直接拨号,中间不接路由器. 若是接路由器的话,可以启用NAT(网络地址转换)中的DMZ,将该服务器IP地址填入此处,那么外网访问到本路由Wan口时,就会直接转到该服务器上.

浅谈web服务器—Nginx

- - CSDN博客推荐文章
常见的web服务器有apache,Nginx,lighttpd等. 但Nginx作为一款高性能的Http和反向代理服务器,由于其高效率、简配置等优势在业内被广泛使用. 目前Taobao、新浪、赶集网、金山、豆瓣网、网易新闻等众多知名互联网企业的服务器都是采用Nginx. 根据url的不同,将HTTP请求转发到后端的应用服务器集群.

centos linux 服务器安全

- - 操作系统 - ITeye博客
我们必须明白:最小的权限+最少的服务=最大的安全. 所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设置到最小话,这样才能保证服务器最大的安全. 下面是CentOS服务器安全设置,供大家参考. 一、注释掉系统不需要的用户和用户组. 注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦.

Java NIO服务器实例

- - ImportNew
我一直想学习如何用Java写一个 非阻塞IO服务器,但无法从网上找到一个满足要求的服务器. 我找到了 这个示例,但仍然没能解决我的问题. 还可以选择 Apache MINA框架. 但我的要求相对简单,MINA对我来说还稍微有点复杂. 所以在MINA和一些教程(参见 这篇和 这篇)的帮助下,我自己写了一个非阻塞IO服务器.

angularjs与服务器交互

- - CSDN博客Web前端推荐文章
真正的应用需要和真实的服务器进行交互,移动应用和新兴的Chrome桌面应用可能是个例外,但是对于此外的所有应用来说,无论你是想把数据持久化到云端,还是需要与其他用户进行实时交互,都需要让应用与服务器进行交互. 为了实现这一点,Angular提供了一个叫做$http的服务. 它提供了一个可扩展的抽象方法列表,使得与服务器的交互更加容易.

AngularJS与服务器交互

- - JavaScript - Web前端 - ITeye博客
        对于AJAX应用(使用XMLHttpRequests)来说,向服务器发起请求的传统方式是:获取一个XMLHttpRequest对象的引用、发起请求、读取响应、检查状态码,最后处理服务端的响应. }else if(xmlhttp.status == 400) { //或者可以是任何以4开头的状态码.

公共 DNS 服务器 IP 地址 及各省DNS服务器

- - 企业架构 - ITeye博客
公共 DNS 服务器 IP 地址. 名称 DNS 服务器 IP 地址. 全国各地电信 DNS 服务器 IP 地址. 名称 DNS 服务器 IP 地址. 全国各地联通 DNS 服务器 IP 地址. 名称 DNS 服务器 IP 地址. Apple TV DNS 服务器 IP 地址. 名称 DNS 服务器 IP 地址.