如何在linode空间安装ssl证书

一、首先淘宝Gworg获取SSL证书，其中包括nginx环境证书或者使用您当前的环境。

二、linode服务器的环境一般以下两种，您可以进行安装。

Nginx安装SSL证书：https://www.gworg.com/ssl/107.html

Nginx 自动跳转到HTTPS：https://www.gworg.com/ssl/167.html

APACHE安装SSL证书：https://www.gworg.com/ssl/106.html

Apache自动跳转到 HTTPS：https://www.gworg.com/ssl/130.html

注意：安装防火墙需要设置允许443端口或关闭防火墙，如果本地服务器安装安全狗的，请允许443端口。实在不会配置也可以淘宝Gworg获取技术支持，他配置的时候需要SSH控制服务器。

博客 – 伯乐在线

首页最新文章在线课程业界开发 IT技术 设计 创业IT职场投稿更多 »

伯乐在线 >首页 >所有文章 >IT技术 >如何保证Linux服务器的安全

如何保证Linux服务器的安全

2013/06/29 | 分类： IT技术 | | 标签： Linux, 服务器

分享到： 99

less即学即用

iOS-动画进阶

洪大师带你解读Symfony2框架

HTML5存储

本文由 伯乐在线 - 贾朝藤 翻译。未经许可，禁止转载！

英文出处：Spenser Jones。欢迎加入翻译小组。

很少见有人马上为一台新安装的服务器做安全措施，然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后？我也做过相同的事，这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示，确保服务器安全没有你想得那样难。在攻击开始后，俯瞰你的“堡垒”，也相当享受。

这篇文章为 Ubuntu 12.04.2 LTS 而写，你也可以在任何其他 Linux 分发版上做相同的事情。

我从哪儿开始？

如果服务器已经有了一个公有IP，你会希望立即锁定 root 访问。事实上，你得锁定整个ssh访问，并确保只有你可以访问。增加一个新用户，把它加入admin组（在/etc/sudoers预配置以拥有sudo访问权限）。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

$ sudo addgroup admin

Adding group 'admin' (GID 1001)

Done.

$ sudo adduser spenserj

Adding user `spenserj' ...

Adding new group `spenserj' (1002) ...

Adding new user `spenserj' (1001) with group `spenserj' ...

Creating home directory `/home/spenserj' ...

Copying files from `/etc/skel' ...

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

Changing the user information for spenserj

Enter the new value, or press ENTER for the default

Full Name []: Spenser Jones

Room Number []:

Work Phone []:

Home Phone []:

Other []:

Is the information correct? [Y/n] y

$ sudo usermod -a -G admin spenserj

你也将希望在你电脑上创建一个私有key，并且在服务器上禁用讨厌的密码验证。

1

2

$ mkdir ~/.ssh

$ echo "ssh-rsa [your public key]" >~/.ssh/authorized_keys

/etc/ssh/sshd_config

1

2

3

4

PermitRootLogin no

PermitEmptyPasswords no

PasswordAuthentication no

AllowUsers spenserj

重新加载SSH，使用修改生效，之后尝试在一个新会话中登陆来确保所有事情正常工作。如果你不能登陆，你将仍然拥有你的原始会话来做修改。

1

2

3

$ sudo service ssh restart

ssh stop/waiting

ssh start/running, process 1599

更新服务器

既然你是访问服务器的唯一用户，你就不用担心黑客鬼鬼祟祟进入，再次正常呼吸。当有一些针对你服务器的更新时，正是修补的机会，所以动手吧，就现在。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

$ sudo apt-get update

...

Hit http://ca.archive.ubuntu.com precise-updates/universe Translation-en_CA

Hit http://ca.archive.ubuntu.com precise-updates/universe Translation-en

Hit http://ca.archive.ubuntu.com precise-backports/main Translation-en

Hit http://ca.archive.ubuntu.com precise-backports/multiverse Translation-en

Hit http://ca.archive.ubuntu.com precise-backports/restricted Translation-en

Hit http://ca.archive.ubuntu.com precise-backports/universe Translation-en

Fetched 3,285 kB in 5s (573 kB/s)

Reading package lists... Done

$ sudo apt-get upgrade

Reading package lists... Done

Building dependency tree

Reading state information... Done

The following packages have been kept back:

linux-headers-generic-lts-quantal linux-image-generic-lts-quantal

The following packages will be upgraded:

accountsservice apport apt apt-transport-https apt-utils aptitude bash ...

73 upgraded, 0 newly installed, 0 to remove and 2 not upgraded.

Need to get 61.0 MB of archives.

After this operation, 151 kB of additional disk space will be used.

Do you want to continue [Y/n]? Y

...

Setting up libisc83 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libdns81 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccc80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccfg82 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libbind9-80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up liblwres80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up bind9-host (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up dnsutils (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up iptables (1.4.12-1ubuntu5) ...

...

安装防火墙

安装现在正最流行的防火墙软件？好，行动吧。那就配置一个防火墙。之后你总是可以增加另一个异常，几分钟额外的工作并不会折腾死你。Iptables在Ubuntu里预装了，所以去设置一些规则吧。

1

$ sudo mkdir /etc/iptables

/etc/iptables/rules

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

# Accept any related or established connections

-I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow all traffic on the loopback interface

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

# Allow outbound DHCP request - Some hosts (Linode) automatically assign the primary IP

#-A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# Outbound DNS lookups

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

# Outbound PING requests

-A OUTPUT -p icmp -j ACCEPT

# Outbound Network Time Protocol (NTP) request

-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT

# SSH

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

# Outbound HTTP

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

COMMIT

通过 iptables-apply 命令为规则集生效。如果你丢失连接，修补你的规则，在继续之前再试一下

1

2

3

4

$ sudo iptables-apply /etc/iptables/rules

Applying new ruleset... done.

Can you establish NEW connections to the machine? (y/N) y

... then my job is done. See you next time.

创建文件 /etc/network/if-pre-up.d/iptables，然后写入下面内容。当你启动服务器的时候，将自动载入你的iptables规则。

/etc/network/if-pre-up.d/iptables

1

2

#!/bin/sh

iptables-restore </etc/iptables/rules

现在给它执行权限，执行文件，以确保它正常载入

Linode VPS *** 作系统安装好后，就需要设置用SSH访问了。话说为什么用ssh来远程访问你的linode，是这样的，如果你的linode上运行一个能给你带来很多很多money的网站，你是不想让别人知道你访问密码和发送命令的，通过ssh可以加密数据通道，不用明文方式传输数据。linode下如何用ssh我不介绍了，因为大部分用户都是在windows上远 程访问linode的。首先需要知道你的linode的公网地址所在，通过管理面板的远程访问(Remote Access)这个页面，可以知道linode地址和DNS等信息。另外一个比较重要的是你可以用ajax版的LISH直接访问linode，执行 root *** 作。windows 下的ssh客户端使用最多的是putty，google一下就能找到，运行它会d出一个配置窗口，在host name和port两处分别输入linode的公网地址和22，再点击“open”就连接到你的linode服务器了， 你也可以点击“save”保存设置后再Open，这样以后就不用重复服务器地址。Open后如果是第一次使用putty，那么系统会d出一个安全警告，无外乎一些数字签名及认证之类的，直接点击“yes”就行，以后就不会再d出了，这时系统会进入远程回话终端，里面所有输入的命令和显示本地 *** 作linux系统一样，用root用户试试吧。远程会话终端第六步:系统升级通过root用户登录系统后，第一件事要做的就是系统升级，因为linux系统及其组件无时不在升级变化，包括很多漏洞补丁之类的。如果你不想被入侵或者系统不稳定，那么就应该养成定期升级系统的习惯， *** 作很简单，就两个命令Debian: apt-get updateapt-get upgrade --show-upgradedUbuntu: sudo apt-get updatesudo apt-get upgrade --show-upgradedCentOS/Fedora: yum update第七步:设置服务器名称这步可有可无，不过给自己的服务器起一个有意义且性感的名称也能反映出你的一些心态和愿景，呵呵。下面是几种linux发布版的设置方法，plato为你想要设置的自己的服务器名称。Debian/Ubuntu: echo "plato" >/etc/hostnamehostname -F /etc/hostnameCentOS/Fedora: echo "HOSTNAME=plato" >>/etc/sysconfig/network hostname -F /etc/HOSTNAMEGentoo: echo "HOSTNAME=\"plato\"" >/etc/conf.d/hostname/etc/init.d/hostname restartArch: echo "HOSTNAME=\"plato\"" >/etc/conf.d/hostnamehostname plato这个名称如果你自己在linode主机上ping的话ping不通，因为没有被解析，需要在/etc/hosts文件里加入下面内容 127.0.0.1 localhost.localdomain localhost

---