Mengeraskan pelayan Linux: Menggunakan alatan baris arahan untuk meningkatkan keselamatan
Ikhtisar:
Dalam persekitaran rangkaian hari ini, keselamatan pelayan adalah penting. Untuk melindungi pelayan anda daripada serangan berniat jahat dan akses tanpa kebenaran, mengeraskan pelayan Linux anda menggunakan alat baris arahan adalah langkah yang perlu. Artikel ini akan memperkenalkan beberapa alatan baris arahan yang biasa digunakan, serta kaedah penggunaan dan kod sampel untuk membantu anda meningkatkan keselamatan pelayan anda.
Transmisi disulitkan SSH:
SSH (Secure Shell) ialah protokol rangkaian yang disulitkan yang digunakan untuk log masuk jauh dan pelaksanaan perintah. Dengan menggunakan SSH, pengguna berniat jahat boleh dihalang daripada memintas dan mencuri dengar data dalam transit. Berikut ialah contoh kod untuk menjana dan menggunakan pasangan kunci menggunakan SSH:
Jana pasangan kunci SSH:
ssh-keygen -t rsa -b 4096
Salin kunci awam ke pelayan jauh:
ssh-copy-id 用户名@IP地址
(pilihan Lumpuhkan log masuk):
sudo vi /etc/ssh/sshd_config
Cari baris PasswordAuthentication no
, kemudian simpan dan keluar. #PasswordAuthentication yes
这一行,将其改为PasswordAuthentication no
,然后保存并退出。
重新启动SSH服务:
sudo systemctl restart sshd
防火墙设置:
防火墙是一种网络安全设备,用于监控和控制网络上的数据流。使用防火墙可以限制服务器上的入站和出站流量,提供对恶意攻击的保护。以下是使用iptables
sudo apt-get install iptables
Tembok api ialah peranti keselamatan rangkaian yang digunakan untuk memantau dan mengawal aliran data pada rangkaian. Gunakan tembok api untuk mengehadkan trafik masuk dan keluar pada pelayan anda, memberikan perlindungan terhadap serangan berniat jahat. Berikut ialah contoh kod untuk menyediakan peraturan firewall menggunakan perintah iptables
:
Pasang iptables:
sudo touch /etc/iptables.rules sudo vi /etc/iptables.rules
Buat fail peraturan firewall baharu:
*filter # 默认策略 :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] # 允许本地回环接口的访问 -A INPUT -i lo -j ACCEPT # 允许已经建立的、相关的连接进入 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许SSH连接 -A INPUT -p tcp --dport 22 -j ACCEPT # 允许其他必要的端口 # -A INPUT -p tcp --dport 80 -j ACCEPT # -A INPUT -p tcp --dport 443 -j ACCEPT # 允许ICMP (Ping)请求 -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # 允许限制的IP地址范围 -A INPUT -s 允许连接的IP地址/子网掩码 -j ACCEPT # 允许某个IP地址范围的访问 # -A INPUT -s 允许连接的IP地址/子网掩码 -j ACCEPT # 拒绝所有其他入站流量 -A INPUT -j DROP COMMIT
sudo iptables-restore < /etc/iptables.rules sudo touch /etc/network/if-pre-up.d/iptables sudo chmod +x /etc/network/if-pre-up.d/iptables sudo vi /etc/network/if-pre-up.d/iptables
#!/bin/sh /sbin/iptables-restore < /etc/iptables.rules
Tambah yang berikut pada fail:
sudo reboot
Mulakan semula pelayan untuk menggunakan peraturan firewall baharu:
sudo tail -f /var/log/syslog
Log Pengelogan dan pemantauan adalah komponen penting dalam keselamatan pelayan. Dengan kerap menyemak log pelayan, aktiviti luar biasa boleh ditemui dan diambil tindakan. Berikut ialah contoh kod menggunakan alat pengelogan dan pemantauan biasa:
Lihat log sistem:
sudo tail -f /var/log/auth.log
Lihat log pengguna yang dibenarkan:
sudo apt-get install nethogs sudo nethogs
Pantau sambungan rangkaian:
rreee
sudo apt-get install htop sudo htop
Atas ialah kandungan terperinci Mengeraskan Pelayan Linux: Tingkatkan Keselamatan dengan Alat Baris Perintah. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!