Konfigurasi keselamatan pelayan Linux: Meningkatkan keupayaan pertahanan sistem
Dengan perkembangan pesat Internet, isu keselamatan pelayan telah menjadi semakin ketara. Untuk melindungi kestabilan pelayan dan keselamatan data, pentadbir pelayan harus mengukuhkan konfigurasi keselamatan pelayan Linux. Artikel ini akan memperkenalkan beberapa kaedah konfigurasi keselamatan pelayan Linux biasa dan menyediakan contoh kod yang berkaitan untuk membantu pentadbir meningkatkan keupayaan pertahanan sistem.
- Kemas kini pakej sistem dan perisian
Memastikan sistem pengendalian dan pakej perisian pelayan dikemas kini adalah salah satu langkah penting untuk memastikan keselamatan pelayan. Pengemaskinian sistem dan pakej perisian yang tepat pada masanya boleh membetulkan kelemahan yang ditemui dan menyediakan ciri keselamatan yang lebih berkuasa. Berikut ialah contoh kod untuk menggunakan yum untuk mengemas kini sistem dan pakej perisian dalam sistem CentOS:
sudo yum update
Salin selepas log masuk
- Lumpuhkan perkhidmatan yang tidak diperlukan
Pelayan Linux memulakan banyak perkhidmatan yang tidak diperlukan secara lalai, yang mungkin menjadi peluang berpotensi untuk penyerang untuk menceroboh masuk sistem . Semua perkhidmatan yang didayakan pada pelayan harus disemak dengan teliti dan perkhidmatan yang tidak diperlukan dilumpuhkan berdasarkan keperluan sebenar. Berikut ialah contoh kod untuk melumpuhkan perkhidmatan dalam sistem CentOS:
sudo systemctl stop <service-name>
sudo systemctl disable <service-name>
Salin selepas log masuk
- Mengkonfigurasi tembok api
Tembok api ialah salah satu komponen utama untuk melindungi pelayan daripada serangan rangkaian. Dengan mengkonfigurasi peraturan tembok api, anda boleh mengehadkan alamat IP, port dan protokol yang pelayan membenarkan akses. Berikut ialah contoh kod untuk menggunakan firewalld perkhidmatan konfigurasi firewall dalam sistem CentOS:
# 启动防火墙服务
sudo systemctl start firewalld
# 开启SSH访问
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --reload
# 开启Web服务访问
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload
Salin selepas log masuk
- Mengkonfigurasi akses SSH
SSH ialah cara biasa untuk pentadbir log masuk ke pelayan dari jauh. Untuk meningkatkan keselamatan akses SSH, anda boleh melakukan konfigurasi berikut:
- Ubah suai port lalai SSH: Menukar port lalai 22 kepada port bukan biasa boleh mengurangkan risiko keretakan kekerasan.
- Lumpuhkan log masuk pengguna root: Melarang pengguna root daripada terus menggunakan SSH untuk log masuk ke pelayan boleh meningkatkan kesukaran pencerobohan untuk penyerang.
- Konfigurasikan log masuk kunci awam: Menggunakan pasangan kunci untuk log masuk ke pelayan dan bukannya kata laluan boleh memberikan keselamatan yang lebih tinggi.
Berikut ialah contoh kod untuk mengubah suai fail konfigurasi SSH:
sudo vi /etc/ssh/sshd_config
# 修改SSH默认端口
Port 2222
# 禁用root用户登录
PermitRootLogin no
# 配置公钥登录
RSAAuthentication yes
PubkeyAuthentication yes
Salin selepas log masuk
Selepas pengubahsuaian selesai, gunakan arahan berikut untuk memulakan semula perkhidmatan SSH:
sudo systemctl restart sshd
Salin selepas log masuk
- Tambah sekatan terhadap keretakan brute force
Untuk mengelakkan brute force cracking kata laluan SSH, anda boleh menambah mekanisme sekatan, hadkan bilangan dan selang masa log masuk SSH yang gagal. Berikut ialah contoh kod yang menggunakan alat fail2ban untuk mengehadkan serangan kekerasan SSH:
# 安装fail2ban
sudo yum install epel-release
sudo yum install fail2ban
# 创建自定义配置文件
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# 编辑配置文件
sudo vi /etc/fail2ban/jail.local
# 修改SSH相关配置
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
maxretry = 3
bantime = 3600
# 启动fail2ban服务
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Salin selepas log masuk
Di atas ialah beberapa kaedah konfigurasi keselamatan pelayan Linux biasa dan kod sampel. Sudah tentu, terdapat banyak aspek lain yang perlu diberi perhatian apabila ia berkaitan dengan keselamatan pelayan, seperti mengkonfigurasi kebenaran fail yang sesuai, menggunakan kata laluan yang kuat, dsb. Apabila mengkonfigurasi keselamatan pelayan, pentadbir perlu mempertimbangkan secara menyeluruh persekitaran dan keperluan sebenar pelayan dan merumuskan dasar keselamatan secara munasabah untuk meningkatkan keupayaan pertahanan sistem.
Atas ialah kandungan terperinci Konfigurasi keselamatan pelayan Linux: meningkatkan keupayaan pertahanan sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
