Pengerasan keselamatan pelayan Linux: konfigurasi dan optimumkan sistem anda

Pengerasan Keselamatan Pelayan Linux: Konfigurasikan dan Optimumkan Sistem Anda

Petikan:
Dalam persekitaran hari ini yang meningkatkan ancaman keselamatan maklumat, melindungi pelayan Linux anda daripada serangan berniat jahat dan akses tanpa kebenaran telah menjadi sangat penting. Untuk mengeraskan keselamatan sistem anda, anda perlu mengambil satu siri langkah keselamatan untuk melindungi pelayan anda dan data sensitif yang disimpan di atasnya. Artikel ini akan merangkumi beberapa langkah konfigurasi dan pengoptimuman utama untuk meningkatkan keselamatan pelayan Linux anda.

1. Kemas kini dan urus pakej perisian
Memasang pakej dan kemas kini perisian terkini adalah penting untuk mengekalkan keselamatan sistem anda. Anda boleh menggunakan pengurus pakej seperti apt, yum atau dnf untuk mengemas kini sistem dan pakej anda. Di bawah ialah contoh baris arahan untuk mengemas kini pakej pada sistem Debian/Ubuntu dan CentOS:

Debian/Ubuntu:

sudo apt update
sudo apt upgrade

CentOS:

sudo yum update

Selain itu, anda harus sentiasa menyemak dan menaik taraf semua perisian yang anda pasang untuk Mengisi sebarang jurang yang mungkin wujud.

2. Konfigurasi tembok api
Mengkonfigurasi tembok api ialah salah satu tugas pertama untuk melindungi pelayan Linux. Anda boleh menggunakan iptables (IPv4) atau nftables (IPv6) untuk mengkonfigurasi peraturan firewall. Berikut ialah contoh mengkonfigurasi tembok api menggunakan iptables:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -j DROP

Contoh di atas membenarkan sambungan melalui SSH, membenarkan sambungan yang telah ditetapkan dan paket yang berkaitan melaluinya, paket yang lain akan dinafikan.

3. Lumpuhkan perkhidmatan yang tidak perlu
Lumpuhkan perkhidmatan yang tidak perlu boleh mengurangkan kawasan permukaan yang boleh diserang. Anda boleh melihat senarai perkhidmatan yang sedang berjalan dan melumpuhkan perkhidmatan yang anda tidak perlukan. Sebagai contoh, jika pelayan anda tidak diperlukan untuk menjalankan pelayan web, anda boleh melumpuhkan perkhidmatan seperti Apache atau Nginx.

Lihat perkhidmatan yang sedang dijalankan (Ubuntu/Debian):

sudo service --status-all

Lumpuhkan perkhidmatan yang tidak diperlukan:

sudo service <service-name> stop
sudo systemctl disable <service-name>

4. Lumpuhkan protokol tidak selamat dan algoritma penyulitan
Lumpuhkan protokol tidak selamat dan algoritma penyulitan boleh menghalang penyerang yang berniat jahat daripada serangan kelemahan sistem anda. Anda boleh melumpuhkan protokol tidak selamat dan algoritma penyulitan dengan mengedit fail konfigurasi pelayan OpenSSH. Cari dan edit fail /etc/ssh/sshd_config dan ulas atau tukar baris berikut kepada pilihan yang lebih selamat:

# Ciphers aes128-ctr,aes192-ctr,aes256-ctr
# MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com

Mengulas atau menukar baris ini akan menggunakan algoritma penyulitan dan kod pengesahan mesej yang lebih selamat.

5. Konfigurasikan akses jauh selamat
Akses jauh ialah bahagian penting dalam pengurusan pelayan, tetapi ia juga boleh menjadi cara penyerang untuk menyerang. Untuk melindungi pelayan anda daripada serangan jauh, anda boleh mengkonfigurasi perkara berikut:

• Gunakan kekunci SSH untuk log masuk dan bukannya kata laluan
• Lumpuhkan log masuk pengguna root
• Konfigurasikan untuk melumpuhkan log masuk untuk pengguna dengan kata laluan kosong
• Gunakan anti-brute force alatan seperti Fail2ban

6. Sandarkan data penting dengan kerap
Tidak kira berapa banyak langkah keselamatan yang anda ambil, anda tidak dapat menjamin imuniti yang lengkap daripada serangan. Oleh itu, adalah sangat penting untuk membuat sandaran data penting dengan kerap. Anda boleh menggunakan pelbagai alat sandaran seperti rsync, tar atau Duplicity untuk menyandarkan data anda dengan kerap.

# 创建数据备份
sudo tar -cvzf backup.tar.gz /path/to/important/data

# 还原备份数据
sudo tar -xvzf backup.tar.gz -C /path/to/restore/data

7. Sulitkan data sensitif
Untuk data sensitif yang disimpan dalam pelayan, anda boleh menggunakan penyulitan untuk melindunginya. Contohnya, anda boleh menggunakan GPG atau openssl untuk menyulitkan fail atau direktori.

Sulitkan fail menggunakan GPG:

gpg --cipher-algo AES256 -c filename

Sulitkan fail menggunakan openssl:

openssl enc -aes-256-cbc -salt -in file.txt -out file.txt.enc

Kesimpulan:
Dengan mengkonfigurasi dan mengoptimumkan pelayan Linux anda dengan betul, anda boleh meningkatkan keselamatan dan kebolehpercayaan sistem anda. Artikel ini merangkumi beberapa langkah pengerasan keselamatan yang penting, seperti mengemas kini dan mengurus pakej perisian, mengkonfigurasi tembok api, melumpuhkan perkhidmatan yang tidak diperlukan, melumpuhkan protokol dan algoritma penyulitan yang tidak selamat, mengkonfigurasi akses jauh yang selamat, menyandarkan data penting secara kerap dan menyulitkan data sensitif. Dengan mengikuti amalan terbaik ini, anda boleh melindungi pelayan anda daripada pelbagai ancaman keselamatan.

Atas ialah kandungan terperinci Pengerasan keselamatan pelayan Linux: konfigurasi dan optimumkan sistem anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!