NTP服务器提供准确时间,首先要有准确的时间来源,这一时间应该是国际标准时间UTC。NTP获得UTC的时间来源可以是原子钟、天文台、卫星,也可以从Internet上获取。这样就有了准确而可靠的时间源。时间按NTP服务器的等级传播。按照离外部UTC源的远近将所有服务器归入不同的Stratum(层)中。Stratum-1在顶层,有外部UTC接入,而Stratum-2则从Stratum-1获取时间,Stratum-3从Stratum-2获取时间,以此类推,但Stratum层的总数限制在15以内。所有这些服务器在逻辑上形成阶梯式的架构相互连接,而Stratum-1的时间服务器是整个系统的基础。密码认证用于通过 SSH 连接到您的服务器。上海网络时钟同步服务器设置
Dns投毒
攻击原理:一台dns服务器只记录本地资源的所有授权主机,若要查询的是非本地的主机信息,则向信息持有者(授权dns服务器)发送查询请求。为了避免每次查询都发送请求,dns服务器会把授权服务器返回的查询结果保存在缓存中,并保持一段时间,这就构成了dns缓存。dns缓存投毒攻击就是通过污染dnscache,用虚假的IP地址信息替换cache中主机记录的真实IP地址信息来制造破坏。这种类型的攻击的目的是将依赖于此dns服务器的受害者重定向到其它的地址,例如重定向搜索引擎到广告网站。这种类型的典型攻击就是钓鱼方式的攻击,例如将一个银行的访问重定向到伪造的网站。 上海网络时钟同步服务器设置客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。
CentOS/Fedora1、创建用户,用你想要的名字替换example_user,并分配一个密码:useraddexample_user&&passwdexample_user2、将用户添加到具有sudo权限的wheel组:usermod-aGwheelexample_userUbuntu1、创建用户,用你想要的名字替换example_user。你将被要求输入用户密码:adduserexample_user2、添加用户到sudo组,这样你就有管理员权限了:adduserexample_usersudoDebian1、Debian默认的包中没有sudo,使用apt-get来安装:apt-getinstallsudo2、创建用户,用你想要的名字替换example_user。你将被要求输入用户密码:adduserexample_user3、添加用户到sudo组,这样你就有管理员权限了:adduserexample_usersudo创建完有限权限的用户后,断开你的服务器连接:exit重新用你的新用户登录。用你的用户名代替example_user,用你的服务器IP地址代替例子中的IP地址:sshexample_user@现在你可以用你的新用户帐户管理你的服务器,而不是root。几乎所有超级用户命令都可以用sudo(例如:sudoiptables-L-nv)来执行,这些命令将被记录到/var/log/。
时间服务器可以利用以下三种方式与其他服务器对时:broadcast/multicastclient/serversymmetricbroadcast/multicast方式主要适用于局域网的环境,时间服务器周期性的以广播的方式,将时间信息传送给其他网路中的时间服务器,其时间*会有少许的延迟,而且配置非常的简单。但是此方式的精确度并不高,对时间精确度要求不是很高的情况下可以采用。symmetric的方式得一台服务器可以从远端时间服务器获取时钟,如果需要也可提供时间信息给远端的时间服务器。此一方式适用于配置冗余的时间服务器,可以提供更高的精确度给主机。client/server方式与symmetric方式比较相似,只是不提供给其他时间服务器时间信息,此方式适用于一台时间服务器接收上层时间服务器的时间信息,并提供时间信息给下层的用户。上述三种方式,时间信息的传输都使用UDP协议。时间服务器利用一个过滤演算法,及先前八个校时资料计算出时间参考值,判断后续校时包的精确性,一个相对较高的离散程度,表示一个对时资料的可信度比较低。*从一个时间服务器获得校时信息,不能校正通讯过程所造成的时间偏差,而同时与许多时间服务器通信校时,就可利用过滤算法找出相对较可靠的时间来源。 创建完有限权限的用户后,断开你的服务器连接;
加固SSH访问默认情况下,密码认证用于通过SSH连接到您的服务器。加密密钥对更加安全,因为它用私钥代替了密码,这通常更难以**。在本节中,我们将创建一个密钥对,并将服务器配置为不接受SSH密码登录。创建验证密钥对这是在你本机上完成的,不是在你的服务器上,这里将创建一个4096位的RSA密钥对。在创建过程中,您可以选择使用密码加密私钥。这意味着它不能在没有输入密码的情况下使用,除非将密码保存到本机桌面的密钥管理器中。我们建议您使用带有密码的密钥对,但如果你不想使用密码,则可以将此字段留空。Linux/OSX如果你已经创建了RSA密钥对,则这个命令将会覆盖它,这可能会导致你不能访问其它的操作系统。如果你已创建过密钥对,请跳过此步骤。要检查现有的密钥,请运行ls〜/.ssh/id_rsa*。ssh-keygen-b4096在输入密码之前,按下回车使用/home/your_username/.ssh中的默认名称id_rsa和。Windows这可以使用PuTTY完成,在我们指南中已有描述:使用SSH公钥验证。将公钥上传到您的服务器上。将example_user替换为你用来管理服务器的用户名称,将。Linux在本机上:ssh-copy-idexample_user@OSX在你的服务器上(用你的权限受限用户登录):mkdir-p~/.ssh&&。 现在你可以用你的新用户帐户管理你的服务器。上海GPS网络时钟服务器配置
时间服务器周期性的以广播的方式。上海网络时钟同步服务器设置
现在让我们强化你的服务器以防止未授权访问。经常升级系统保持新的软件是你可以在任何操作系统上采取的比较大的安全预防措施。软件更新的范围从关键漏洞补丁到小bug的修复,许多软件漏洞实际上是在它们被公开的时候得到修补的。自动安全更新有一些用于服务器上自动更新的参数。Fedora的Wiki上有一篇很棒的剖析自动更新的利弊的文章,但是如果你把它限制到安全更新上,自动更新的风险将是小的。自动更新的可行性必须你自己判断,因为它归结为你在你的服务器上做什么。请记住,自动更新*适用于来自仓库的包,而不是自行编译的程序。你可能会发现一个复制了生产服务器的测试环境是很有必要的。可以在部署到生产环境之前,在测试环境里面更新来检查问题。CentOS使用yum-cron进行自动更新。Debian和Ubuntu使用无人值守升级。Fedora使用dnf-automatic。上海网络时钟同步服务器设置
