一、用戶概述
 
默認(rèn)狀況下，ubuntu server的root用戶是不啟用的，一般用戶通過在命令前加前綴”sudo”,來暫時(shí)獲得管理員權(quán)限。隨后會提示輸入password，此password與一般用戶的密碼一樣。也可以通過 sudo –i來將一般用戶提升為超級用戶。
 
啟用root帳號僅需運(yùn)行sudo passwd root，然后根據(jù)提示輸入密碼即可激活root.如果要關(guān)閉root用戶，僅需運(yùn)行 sudo passwd –l root即可。
 
Root帳號的密碼和普通用戶使用sudo的密碼沒有任何聯(lián)系。root帳號和普通帳號的sudo不同之處在于，使用root帳號登陸后權(quán)限始終為管理員權(quán)限，而普通帳號的sudo,僅在執(zhí)行某一命令時(shí)是管理員權(quán)限，當(dāng)執(zhí)行完命令后又會自動降為普通用戶權(quán)限。
 
二、用戶密碼的設(shè)置與恢復(fù)
 
使用命令 sudo passwd user-name,然后根據(jù)提示輸入sudo密碼，如果驗(yàn)證通過，則會提示為user-name輸入新密碼。此命令同樣可以為root設(shè)置和恢復(fù)密碼。
 
三、GRUB的安全性
 
GRUB用于引導(dǎo)系統(tǒng)及進(jìn)行系統(tǒng)恢復(fù)。可以通過對其進(jìn)行添加操作密碼的方式，來增加其安全性。主要是對”/boot/grub/menu.lst”進(jìn)行修改。示例如下：
 
沒有修改前：
 

修改后：
 
 

然后reboot系統(tǒng)，待出現(xiàn)GRUB畫面時(shí)，將光標(biāo)移到該選項(xiàng)處，按下‘p’，輸入密碼12345即可。通過這種方式，可以有效地防止通過recovery mode進(jìn)行惡意破壞，如修改root密碼等。
 
由于以上方式的密碼是以明文的形式出現(xiàn)在menu.lst中，也具有危險(xiǎn)性，因此可采取對其加密的方式。具體如下：
 
sudo grub-md5-crytp ,然后根據(jù)提示輸入兩遍 12345(請更改為任意字符),之后出現(xiàn)31個(gè)字符，記錄下該字符串。將password=12345 修改為password --md5 31位字符串，reboot系統(tǒng)即可。
 
四、使用救援光碟恢復(fù)系統(tǒng)
 
當(dāng)忘掉GRUB密碼或因某種原因GRUB無法啟動，此時(shí)即可使用救援光碟。將光碟放入CDROM，reboot系統(tǒng)，待出現(xiàn)啟動條目時(shí)，移動光標(biāo)至”Resuce broken system”.隨后會自動監(jiān)測系統(tǒng)硬件，如語言種類、網(wǎng)路接口、硬盤等。最后將出現(xiàn)命令行選項(xiàng)：
 
 

選擇第一項(xiàng)，隨后進(jìn)入bash shell。
 
注意：/dev/discs/disc0/part1 中的part1表示欲恢復(fù)的系統(tǒng)安裝的分區(qū)，應(yīng)根據(jù)實(shí)際情況選擇。
 
 
五、Summary
 
處于安全考慮：
 
1 root帳戶應(yīng)該disable;
 
2 GRUB應(yīng)設(shè)置MD5密碼；
 
3 應(yīng)設(shè)置BIOS，使禁止從CD-ROM啟動系統(tǒng)。

六、確保SSH的安全性

SSH對于遠(yuǎn)程管理一臺服務(wù)器來說是一個(gè)好方法。然而，SSH仍然存在著諸多問題。服務(wù)器和客戶端的通信是安全的，不過這并不意味著涉及到的主機(jī)也是安全的。向外部世界打開一個(gè)SSH服務(wù)也就意味著允許強(qiáng)力攻擊。
我們可以采取一些極為簡單的方法來真正地強(qiáng)化經(jīng)由SSH的遠(yuǎn)程訪問，特別是我們不能將這種服務(wù)與源端口的一個(gè)有限數(shù)量相聯(lián)系時(shí)。
先說一件重要的事情，sshd_config。在Ubuntu中，這通常在/etc/ssh中可以找到，它可以用于配置大量的特性。最簡單的往往是最好的。限制可以通過SSH登錄的用戶是一個(gè)首要的原則。這可以用如下兩種方法完成：根據(jù)用戶或者根據(jù)組。AllowGroups允許一個(gè)組的任何經(jīng)鑒定的用戶通過SSH訪問服務(wù)器。不過，一個(gè)更加精細(xì)的方法是使用AllowUsers選項(xiàng)。
另一個(gè)簡單的方法是將監(jiān)聽端口從22號端口移到某個(gè)其它的隨機(jī)指定的端口。這就減少了顯示SSHD運(yùn)行狀態(tài)掃描的可能性。
我們還可以禁用對根的訪問，并禁用口令驗(yàn)證而只使用密鑰驗(yàn)證。
下一步就是使用一個(gè)稱為Denyhosts的小工具，大家可以從http://denyhosts.sourceforge.net/下載它。我們一定要保證啟用/etc/apt/source.list中的資源，然后鍵入下面的命令：

DenyHosts意在由Linux系統(tǒng)管理員運(yùn)行，以幫助其挫敗對SSH服務(wù)器的攻擊（也稱為基于字典的攻擊或強(qiáng)力攻擊）的企圖。
DenyHosts充當(dāng)著一個(gè)對SSH和其它服務(wù)的動態(tài)阻擊器，它依靠/etc/hosts.deny和 hosts.allow進(jìn)行工作，并能夠以動態(tài)方式構(gòu)建重復(fù)地與我們的服務(wù)器連接的主機(jī)列表。默認(rèn)情況下，這項(xiàng)服務(wù)會阻止來自那些不斷地試圖與我們的主機(jī)連接并實(shí)施訪問的IP地址源。Denyhosts的處理在/etc/denyhosts.conf中進(jìn)行配置。
我們還可以通過Iptables行連接速率的限制，而且我們還應(yīng)該在服務(wù)器上部署防火墻。
一旦這些布置停當(dāng)，我們就會確信自己在一臺面向公眾的主機(jī)上擁有了一個(gè)更加安全的SSH。

最新評論