Perjalanan baris arahan untuk meningkatkan keselamatan pelayan Linux

Perjalanan baris arahan untuk meningkatkan keselamatan pelayan Linux

Dalam persekitaran rangkaian semasa, melindungi keselamatan pelayan adalah penting. Sistem pengendalian Linux menyediakan banyak alat dan arahan yang berkuasa yang boleh membantu kami meningkatkan keselamatan pelayan. Artikel ini akan membawa anda ke perjalanan baris arahan yang menarik dan mempelajari cara menggunakan arahan ini untuk mengeraskan pelayan Linux anda.

1. Kemas kini sistem dan perisian

Pertama, pastikan sistem Linux anda dan perisian yang dipasang semuanya dikemas kini. Mengemas kini sistem dan perisian boleh membantu membetulkan kelemahan keselamatan yang diketahui dan memberikan keselamatan yang lebih baik. Kemas kini sistem dan perisian menggunakan arahan berikut:

sudo apt update
sudo apt upgrade

2. Mengukuhkan akses SSH

SSH ialah alat biasa untuk pengurusan jauh pelayan Linux, tetapi ia juga merupakan salah satu titik masuk utama penyerang. Untuk mengeraskan akses SSH, anda boleh mengambil langkah berikut:

2.1 Lumpuhkan log masuk akaun root

Akaun root ialah akaun yang paling istimewa, dan penyerang biasanya cuba meneka kata laluannya untuk melakukan serangan. Melumpuhkan log masuk akaun root boleh mengurangkan permukaan serangan. Dalam fail /etc/ssh/sshd_config, cari parameter PermitRootLogin dan tetapkannya kepada no: /etc/ssh/sshd_config文件中，找到PermitRootLogin参数，并将其设置为no：

PermitRootLogin no

保存并退出文件，然后重新启动SSH服务：

sudo service ssh restart

2.2. 使用SSH密钥登录

使用SSH密钥进行身份验证可以更加安全，因为它比密码更难以被破解。生成SSH密钥对的方法如下：

ssh-keygen -t rsa -b 4096

按照提示生成密钥对。然后将公钥添加到服务器上的~/.ssh/authorized_keys文件中。将私钥保存在本地，并确保权限设置为600或更高。

接下来，您可以修改/etc/ssh/sshd_config文件来强制使用SSH密钥进行登录：

PasswordAuthentication no

保存并退出文件，然后重新启动SSH服务。

3. 防火墙设置

防火墙是保护服务器的重要工具。使用iptables命令可以配置防火墙规则。以下是一些常用的命令示例：

3.1. 屏蔽指定IP地址

如果您希望屏蔽特定的IP地址，可以使用以下命令：

iptables -A INPUT -s 192.168.1.100 -j DROP

3.2. 允许特定端口访问

如果只允许特定的端口访问服务器，可以使用以下命令：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

以上命令将允许SSH和HTTP的访问。确保您根据实际需求修改端口号。

3.3. 阻止所有非指定端口访问

如果您只允许特定的端口访问服务器，可以使用以下命令：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP

以上命令将允许SSH的访问，并且阻止所有其他端口的访问。

4. 定时备份

定时备份服务器的数据和配置文件是一项重要的安全措施。您可以使用crontab命令来设置定时备份任务。以下是一个例子：

打开终端并输入：

crontab -e

在打开的文件中添加以下行来设置每天定时备份：

0 2 * * * rsync -avz /var/www /path/to/backup

以上命令将在每天凌晨2点备份/var/www目录到指定的路径。

5. 安全加固其他服务

除了SSH外，您还需确保其他服务的安全性。例如，您可以使用以下命令来加固Apache Web服务器：

5.1. 禁用目录浏览

在/etc/apache2/apache2.conf文件中找到以下行，并确保其前面没有注释符号（#）：

Options -Indexes

5.2. 隐藏服务器版本信息

在同一个文件中，找到以下行并将其设置为Off

ServerTokens Prod

Simpan dan keluar dari fail, Kemudian mulakan semula perkhidmatan SSH:

rrreee

2.2 Log masuk menggunakan kunci SSH

Menggunakan kunci SSH untuk pengesahan boleh menjadi lebih selamat kerana ia lebih sukar untuk dipecahkan daripada kata laluan. Kaedah untuk menjana pasangan kunci SSH adalah seperti berikut:

rrreee

Ikuti gesaan untuk menjana pasangan kunci. Kemudian tambahkan kunci awam pada fail ~/.ssh/authorized_keys pada pelayan. Simpan kunci persendirian secara setempat dan pastikan kebenaran ditetapkan kepada 600 atau lebih tinggi.

Seterusnya, anda boleh mengubah suai fail /etc/ssh/sshd_config untuk memaksa penggunaan kekunci SSH untuk log masuk: 🎜rrreee🎜Simpan dan keluar dari fail, kemudian mulakan semula perkhidmatan SSH. 🎜

🎜Tetapan Firewall🎜🎜🎜Firewall ialah alat penting untuk melindungi pelayan anda. Peraturan firewall boleh dikonfigurasikan menggunakan arahan iptables. Berikut adalah beberapa contoh arahan yang biasa digunakan: 🎜🎜3.1 Sekat alamat IP yang ditentukan 🎜🎜 Jika anda ingin menyekat alamat IP tertentu, anda boleh menggunakan arahan berikut: 🎜rrreee 🎜3.2. Benarkan akses port tertentu 🎜🎜 Jika anda sahaja benarkan Pelayan akses port tertentu, anda boleh menggunakan arahan berikut: 🎜rrreee🎜Arahan di atas akan membenarkan akses SSH dan HTTP. Pastikan anda mengubah suai nombor port mengikut keperluan sebenar anda. 🎜🎜3.3. Sekat semua akses port yang tidak ditentukan🎜🎜Jika anda hanya membenarkan port tertentu untuk mengakses pelayan, anda boleh menggunakan arahan berikut: 🎜rrreee🎜Arahan di atas akan membenarkan akses SSH dan menyekat akses kepada semua port lain. 🎜
🎜Sandaran tetap🎜🎜🎜Sandaran tetap data pelayan dan fail konfigurasi ialah langkah keselamatan yang penting. Anda boleh menggunakan perintah crontab untuk menyediakan tugas sandaran yang dijadualkan. Berikut ialah contoh: 🎜🎜Buka terminal dan masukkan: 🎜rrreee🎜Tambah baris berikut dalam fail yang dibuka untuk menyediakan sandaran berjadual harian: 🎜rrreee🎜Arahan di atas akan menyandarkan direktori /var/www ke laluan yang ditetapkan pada pukul 2 pagi setiap hari. 🎜
🎜Security hardening other services🎜🎜🎜Selain SSH, anda juga perlu memastikan keselamatan perkhidmatan lain. Sebagai contoh, anda boleh menggunakan arahan berikut untuk mengeraskan pelayan web Apache: 🎜🎜5.1 Lumpuhkan penyemakan imbas direktori 🎜🎜 Cari baris berikut dalam fail /etc/apache2/apache2.conf dan pastikan. tiada ulasan sebelum itu Simbol (#): 🎜rrreee🎜5.2 Sembunyikan maklumat versi pelayan 🎜🎜Dalam fail yang sama, cari baris berikut dan tetapkannya kepada Mati: 🎜rrreee🎜Simpan dan keluar. fail dan mulakan semula perkhidmatan Apache. 🎜🎜Ini hanyalah senarai kecil cara untuk meningkatkan keselamatan pelayan. Dengan menggunakan arahan dan langkah ini, anda boleh meningkatkan keselamatan pelayan Linux anda dan mengurangkan risiko serangan. Ingat, memastikan pelayan anda selamat ialah tugas berterusan yang memerlukan semakan kerap yang kerap dan langkah dikemas kini. 🎜🎜Contoh baris arahan yang disediakan dalam artikel ini hanyalah pengetahuan asas Jika anda ingin mengukuhkan lagi keselamatan pelayan anda, adalah disyorkan agar anda mengetahui lebih lanjut tentang teknologi berkaitan dan langkah keselamatan yang lebih maju. 🎜🎜Semoga pelayan Linux anda selamat dan bebas kebimbangan! 🎜

Atas ialah kandungan terperinci Perjalanan baris arahan untuk meningkatkan keselamatan pelayan Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!