Bagaimana untuk mengkonfigurasi dan melindungi keselamatan rangkaian sistem Linux

王林
Lepaskan: 2023-11-08 10:45:23
asal
1119 orang telah melayarinya

Bagaimana untuk mengkonfigurasi dan melindungi keselamatan rangkaian sistem Linux

Dengan aplikasi sistem Linux yang meluas, keselamatan rangkaian telah menjadi tugas yang penting. Semasa menghadapi pelbagai ancaman keselamatan, pentadbir sistem perlu melaksanakan konfigurasi keselamatan rangkaian dan langkah perlindungan untuk pelayan. Artikel ini akan memperkenalkan cara mengkonfigurasi dan melindungi keselamatan rangkaian pada sistem Linux, dan menyediakan beberapa contoh kod khusus.

  1. Konfigurasi Sistem Firewall
    Linux menggunakan iptables sebagai firewall secara lalai, yang boleh dikonfigurasi melalui perintah berikut:
# 关闭现有防火墙
service iptables stop

# 清空iptables规则
iptables -F

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 其他访问一律禁止
iptables -P INPUT DROP
iptables -P FORWARD DROP
Salin selepas log masuk
e
  1. Close perkhidmatan yang tidak perlu - sistem linux, sering terdapat beberapa perkhidmatan yang tidak perlu yang berjalan di latar belakang akan menduduki sumber pelayan dan juga membawa potensi risiko keselamatan kepada sistem. Perkhidmatan yang tidak diperlukan boleh ditutup dengan arahan berikut:
  2. # 关闭NFS服务
    service nfs stop
    chkconfig nfs off
    
    # 关闭X Window图形界面
    yum groupremove "X Window System"
    
    # 关闭FTP服务
    service vsftpd stop
    chkconfig vsftpd off
    Salin selepas log masuk
    Pasang dan gunakan Fail2ban
  1. Fail2ban ialah alat keselamatan sumber terbuka yang boleh memantau keadaan rangkaian, mengesan percubaan log masuk yang mencurigakan dan menyenaraihitamkan secara automatik melalui sekatan firewall untuk melindungi rangkaian dengan berkesan keselamatan. Fail2ban boleh dipasang dengan arahan berikut:
  2. yum install fail2ban -y
    Salin selepas log masuk
Fail konfigurasi: /etc/fail2ban/jail.conf

Tambah peraturan tersuai:

# 在jail.conf文件中添加一行:
[my_sshd]
enabled = true
port = ssh
filter = my_sshd
logpath = /var/log/secure
maxretry = 3
Salin selepas log masuk

Buat peraturan penapis:

# 在/etc/fail2ban/filter.d/目录下,创建my_sshd.conf文件,然后编辑:
[Definition]
failregex = .*Failed (password|publickey).* from <HOST>
ignoreregex =
Salin selepas log masuk

    SSH sangat berkuasa dan SSH
  1. Configure Protokol log masuk jauh yang digunakan secara meluas juga menjadi sasaran banyak serangan penggodam. Oleh itu, anda perlu mengambil beberapa langkah keselamatan apabila menggunakan SSH:
  2. # 修改SSH默认端口
    vim /etc/ssh/sshd_config
    # 将Port 22修改为其他端口,例如:
    Port 22222
    
    # 禁止root登录
    vim /etc/ssh/sshd_config
    # 将PermitRootLogin yes修改为PermitRootLogin no
    
    # 限制用户登录
    vim /etc/ssh/sshd_config
    # 添加以下内容:
    AllowUsers user1 user2
    Salin selepas log masuk
    Lumpuhkan IPv6
  1. Dalam kebanyakan persekitaran rangkaian pelayan, IPv6 tidak diperlukan dengan berkesan mengurangkan risiko serangan sistem:
  2. # 添加以下内容到/etc/sysctl.conf文件中:
    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
    
    # 使用以下命令生效:
    sysctl -p
    Salin selepas log masuk
    Ringkasan ini. artikel memperkenalkan cara mengkonfigurasi dan melindungi keselamatan rangkaian pada sistem Linux, termasuk mengkonfigurasi tembok api, menutup perkhidmatan yang tidak diperlukan, memasang dan menggunakan Fail2ban, mengkonfigurasi SSH dan melumpuhkan IPv6. Kod sampel yang disediakan dalam artikel ini boleh membantu pentadbir menyelesaikan kerja keselamatan rangkaian dengan lebih mudah dan cepat. Dalam aplikasi praktikal, pelarasan dan penambahbaikan yang sepadan hendaklah dibuat mengikut keadaan tertentu.

    Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi dan melindungi keselamatan rangkaian sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan
Tentang kita Penafian Sitemap
Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!