Heim System-Tutorial LINUX Entdecken Sie, wie Sie Ihren Linux-Server schützen können

Entdecken Sie, wie Sie Ihren Linux-Server schützen können

Jan 01, 2024 pm 03:56 PM
linux linux服务器 ftp服务器

浅谈为你的 Linux 服务器加把锁

Egal welche Linux-Distribution Sie verwenden, Sie müssen sie mit einer iptables-basierten Firewall schützen.

Aha! Sie haben Ihren ersten Linux-Server eingerichtet und können loslegen! Ist es? Gut, warte.

Standardmäßig ist Ihr Linux-System nicht sicher genug vor Angreifern. Sicher, es ist viel sicherer als Windows XP, aber das bedeutet nicht viel.

Um Ihr Linux-System wirklich sicher zu machen, müssen Sie Linodes Server Security Guide befolgen.

Im Allgemeinen müssen Sie zunächst die Dienste deaktivieren, die Sie nicht benötigen. Dazu müssen Sie natürlich zunächst wissen, welche Netzwerkdienste Sie nutzen.

Mit dem Shell-Befehl können Sie herausfinden, um welche Dienste es sich handelt:

netstat -tulpn
Nach dem Login kopieren

netstat teilt Ihnen mit, welche Dienste ausgeführt werden und welche Ports diese Dienste verwenden. Wenn Sie einen Dienst oder Port nicht benötigen, sollten Sie ihn deaktivieren. Sofern Sie beispielsweise keine Website betreiben, muss weder ein Apache- oder Nginx-Server ausgeführt werden, noch muss Port 80 oder 8080 geöffnet sein.

Kurz gesagt: Wenn Sie sich nicht sicher sind, schalten Sie es einfach zuerst aus.

Auf einem einfachen Linux-Server ohne zusätzliche Änderungen werden SSH, RPC und NTPdate auf ihren öffentlichen Ports ausgeführt. Fügen Sie kein altes und unsicheres Shell-Programm wie Telnet hinzu, sonst vertreibt der alte Treiber Ihren Linux-Sportwagen, ohne dass Sie es merken. Vielleicht mochten Sie Telnet in den 1980er Jahren als Backup-Anmeldung für Ihren SunOS-Rechner, aber das ist schon lange vorbei.

Für SSH sollten Sie RSA-Schlüssel und Fail2Ban zur Absicherung verwenden. Sofern Sie RPC nicht benötigen, deinstallieren Sie es. Wenn Sie nicht wissen, dass Sie es nicht benötigen, brauchen Sie es nicht.

Genug der Sperrung; sprechen wir über die Sperrung des eingehenden Datenverkehrs mithilfe von iptables.

Es gibt keine Regeln, wenn Sie einen Linux-Server starten. Das bedeutet, dass jeglicher Verkehr erlaubt ist. Das ist natürlich schlecht. Daher müssen Sie Ihre Firewall rechtzeitig einrichten.

Iptables ist ein Shell-Tool zum Festlegen von Netzwerkrichtlinienregeln für Netfilter, der Standard-Firewall unter Linux-Systemen, die eine Reihe von Regeln verwendet, um Datenverkehr zuzulassen oder zu verbieten. Wenn jemand versucht, eine Verbindung zu Ihrem System herzustellen – und manche Leute versuchen das ständig und lassen sich nie entmutigen – prüft iptables, ob diese Anfragen mit einer Liste von Regeln übereinstimmen. Wenn keine Regel zutrifft, wird die Standardaktion ausgeführt.

Der Standardvorgang sollte darin bestehen, die Verbindung zu „trennen“, was bedeutet, dass diese beabsichtigten Eindringlinge gesperrt werden. Und es lässt sie nicht wissen, was mit diesen Netzwerkuntersuchungen los ist. (Sie können den Link auch „ablehnen“, aber dadurch werden sie auch darüber informiert, dass Sie eine aktive Linux-Firewall haben. Im Moment gilt: Je weniger Informationen Fremde in unsere Systeme gelangen können, desto besser. Zumindest denke ich das.)

Jetzt können Sie iptables verwenden, um Ihre Firewall einzurichten. Ich habe das bereits getan. Wie zuvor fuhr ich mit dem Fahrrad zur sechs Meilen entfernten Arbeit und es ging auf beiden Seiten bergauf. Und jetzt fahre ich dorthin.

Dies ist eigentlich eine Metapher für meine Verwendung von FirewallD in Fedora-Distributionen und UFW (Uncomplicated Firewall) in Debian-Distributionen. Dies sind benutzerfreundliche Shell-Frontends für iptables. Eine geeignete Verwendung finden Sie in den folgenden Linode-Anleitungen: FirewallD und UFW.

Das Festlegen dieser Regeln ist im Wesentlichen so, als würde man auf Ihrem Server ein „Zutritt verboten“-Schild anbringen. Benutze es.

Aber seien Sie nicht zu aufgeregt und schließen Sie alle Links. Zum Beispiel:

sudo ufw default deny incoming
Nach dem Login kopieren

Sieht nach einer guten Idee aus. Vergessen Sie nicht, es verbietet alle Links, auch Ihre!

Großartig, genau das macht es. Dies bedeutet, dass auch SSH-Anmeldungen deaktiviert werden. Dies bedeutet, dass Sie sich nicht mehr auf Ihrem neuen Server anmelden können. Wow!

Wenn Sie jedoch einen Fehler machen, werden versehentlich weitere Links gesperrt. Sie sehen, der erfahrene Fahrer wird auch von Ihnen blockiert.

Genauer gesagt ist dies kein Einzelphänomen, das bei Ihnen oder Ihrem Server auftritt. Natürlich sind Sie nicht die National Security Agency (NSA), die täglich über 300 Millionen Angriffsversuchen ausgesetzt ist. Aber dem Angriffsskript ist es egal, wer Sie sind. Es wird lediglich kontinuierlich nach Servern mit bekannten Schwachstellen im Netzwerk gesucht. An einem normalen Tag würde mein eigener kleiner Server Hunderten von Angriffen ausgesetzt sein.

Das ist es, worauf warten Sie noch? Machen Sie weiter und stärken Sie Ihre Netzwerkdienste. Installieren Sie FirewallD oder UFW, um Ihren Server zu härten. Sie werden dazu bereit sein.

Das obige ist der detaillierte Inhalt vonEntdecken Sie, wie Sie Ihren Linux-Server schützen können. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
2 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Repo: Wie man Teamkollegen wiederbelebt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Abenteuer: Wie man riesige Samen bekommt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
2 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Repo: Wie man Teamkollegen wiederbelebt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Abenteuer: Wie man riesige Samen bekommt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Artikel -Tags

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Android TV Box erhält inoffizielles Ubuntu 24.04-Upgrade Android TV Box erhält inoffizielles Ubuntu 24.04-Upgrade Sep 05, 2024 am 06:33 AM

Android TV Box erhält inoffizielles Ubuntu 24.04-Upgrade

Deepseek Web Version Eingang Deepseek Offizielle Website Eingang Deepseek Web Version Eingang Deepseek Offizielle Website Eingang Feb 19, 2025 pm 04:54 PM

Deepseek Web Version Eingang Deepseek Offizielle Website Eingang

So installieren Sie Deepseek So installieren Sie Deepseek Feb 19, 2025 pm 05:48 PM

So installieren Sie Deepseek

BitPie Bitpie-Wallet-App-Download-Adresse BitPie Bitpie-Wallet-App-Download-Adresse Sep 10, 2024 pm 12:10 PM

BitPie Bitpie-Wallet-App-Download-Adresse

Bitget Offizielle Website -Installation (2025 Anfängerhandbuch) Bitget Offizielle Website -Installation (2025 Anfängerhandbuch) Feb 21, 2025 pm 08:42 PM

Bitget Offizielle Website -Installation (2025 Anfängerhandbuch)

Ausführliche Erklärung: Parameterbefehl zur Beurteilung der Variablen des Shell-Skripts Ausführliche Erklärung: Parameterbefehl zur Beurteilung der Variablen des Shell-Skripts Sep 02, 2024 pm 03:25 PM

Ausführliche Erklärung: Parameterbefehl zur Beurteilung der Variablen des Shell-Skripts

Installation der Quellcode-Kompilierung von Zabbix 3.4 Installation der Quellcode-Kompilierung von Zabbix 3.4 Sep 04, 2024 am 07:32 AM

Installation der Quellcode-Kompilierung von Zabbix 3.4

Ouyi OKX Installationspaket ist direkt enthalten Ouyi OKX Installationspaket ist direkt enthalten Feb 21, 2025 pm 08:00 PM

Ouyi OKX Installationspaket ist direkt enthalten

See all articles