Ubuntu Server Secure-用于保护和强化Ubuntu的脚本
今天,我偶然发现了一个有用的脚本,该脚本可用于通过简单的鼠标单击来保护Ubuntu OS的安全。
我们不需要是经验丰富的Linux管理员即可使用此功能。
我们所需要做的就是下载,解压缩并运行脚本。
该脚本将处理所有事情。
工作是单击“是”或者“取消”。
就这样,简单明了。
粉丝俱乐部团队创建了一个简单的GUI脚本,称为“ Ubuntu Server Secure(简称USS)”,该脚本由流行的GUI安全管理工具组成,用于强化和审核Ubuntu桌面或者Server操作系统上的安全性。
该脚本将在后台自动安装和配置所有必需的应用程序。
该脚本将在Ubuntu系统上自动执行以下17个任务:
- 安装和配置UFW防火墙;
- 安全共享内存;
- 禁用SSH root登录并更改SSH默认端口;
- 通过仅限制对管理员组的访问来保护su;
- 加强网络系统设置;
- 禁用OpenDNS递归;
- 防止IP欺骗;
- 强化PHP;
- 安装和配置ModSecurity;
- 使用ModEvasive防御DDoS攻击;
- 安装和配置DenyHosts以扫描日志并禁止可疑主机;
- 安装并配置PSAD入侵检测应用程序;
- 使用RKHunter检查rootkit;
- 安装和配置NMAP以扫描打开的端口;
- 使用LogWatch分析系统日志;
- 安装和配置SELinux;
- 安装和配置Tiger安全审核和入侵工具。
该脚本的唯一警告是它需要GUI,这意味着我们必须在Ubuntu服务器中安装Unity或者Gnome DE。
如果我们已经在使用Ubuntu桌面,那就很好。
而且,脚本还很旧。
在浏览此脚本时,我发现它是在2012年针对Ubuntu 12.04 LTS版本编写的。
似乎开发人员已在Alpha阶段放弃了此脚本,而转移到下一个项目。
我无法在他们的上找到该脚本的最新版本。
但是,此脚本仍可在最新的Ubuntu 16.04 LTS操作系统上运行。
如果我们是开发人员,则可以分析脚本并更新该脚本(如果其中包含任何缺陷),或者仅将错误或者想法通知给原始开发人员以改进此脚本。
现在,让我们使用此脚本保护和加强我们的Ubuntu系统。
使用“ Ubuntu Server Secure(USS)”脚本保护Ubuntu
免责声明:请谨慎使用此脚本。
对于Ubuntu系统的任何形式的损害,我或者该脚本的所有者均不承担任何责任。
该脚本仅用于alpha测试,如果使用不正确,可能会损害系统。
在生产环境中使用此脚本之前,请在任何测试计算机上对其进行全面测试。
一旦满意,就可以在生产系统上使用它。
要求:
该脚本是使用Zenity创建的。
因此,我们需要在Ubuntu系统中安装它才能使用此脚本。
众所周知,Zenity默认从Ubuntu 12.04 LTS开始预安装。
如果不是偶然安装的,则可以使用apt软件包管理器进行安装。
另外,我们需要安装gksu,这是su和sudo命令的gtk前端,以及wget(命令行下载程序)。
要安装它们,只需从终端运行以下命令:
sudo apt-get install gksu wget
接下来,我们需要在系统中部署标准的LAMP堆栈。
请参考以下链接在Ubuntu 16.04 LTS中安装LAMP堆栈。
- 在Ubuntu 16.04中安装Apache,MariaDB,PHP(LAMP堆栈)
下载并安装USS
从“终端”窗口中运行以下命令以下载此脚本。
wget https://www.thefanclub.co.za/sites/default/files/public/downloads/ubuntu-server-secure.tar.gz
下载后,请使用以下命令将其解压缩:
sudo tar -zxvf ubuntu-server-secure.tar.gz
转到解压缩的文件夹:
cd ubuntu-server-secure
使用以下命令将脚本设置为可执行文件:
sudo chmod +x ubuntu-server-secure.sh
最后,运行以下命令以启动脚本。
gksudo sh ubuntu-server-secure.sh
我们将看到以下 Screen。
只需选择要在Ubuntu系统中实现的安全功能即可。
我想部署所有这些,所以我检查了所有功能。
从现在开始,我们需要回答一系列“是”或者“否”类型的问题。
别担心,所有问题都是不言而喻的。
首先,让我们更改默认的SSH端口。
由于这只是演示目的,因此我使用默认值。
我们可以根据自己的喜好更改值。
选择“是”以通过UFW防火墙打开新的SSH端口。
选择“是”以重新启动SSH服务以使更改生效。
输入新管理员组的名称:
输入应将哪个当前用户添加到新的管理员组。
请注意,添加到该组中的用户只能使用“ su”或者“ sudo”命令执行管理任务。
单击“是”以新设置重新启动sysctl:
在保护PHP之后,选择“是”以重新启动Apache服务:
接下来,我们需要配置ModSecurity。
输入页面请求正文限制的值(以字节为单位)。
如果不确定,请保留默认值。
很好
选择是,使用ModSecurity重新启动Apache2服务以使更改生效。
输入有效的电子邮件ID以接收ModEvasive通知:
选择是以使用ModEvasive重新启动Apache2:
输入有效的电子邮件ID以接收DenyHosts通知:
输入电子邮件ID以接收PSAD通知:
选择“是”以运行RKHunter检查:
选择是运行Nmap端口扫描:
选择是,在系统上运行LogWatch:
选择是以检查Apparmor状态:
最后,让我们运行Tiger入侵检测工具来审核安全性并加强我们的Ubuntu系统
单击“确定”结束Ubuntu安全脚本。
现在,我们修复了Ubuntu系统中的一些常见安全问题。
我们可以在以下位置检查完整的日志文件:/var/log/uss_YYYY-MM-DD.log(用当前日期替换YYYY-MM-DD)。
