Linux服务器安全加固措施

小蓝 • 2024-12-10 18:17 • 编程

一、防火墙

防火墙是保护服务器安全的第一道防线。在Linux服务器上，我们可以使用iptables进行防火墙的配置。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP

以上代码先允许ssh、http和https的访问，再拒绝其他全部访问。

二、SSH安全

SSH是远程连接服务器的常用方式，但也是黑客攻击的重点。我们可以通过以下措施增强SSH的安全性：

1、禁止root用户直接登录：

# 修改ssh配置文件/etc/ssh/sshd_config
PermitRootLogin no

2、改变SSH端口号：

# 修改ssh配置文件/etc/ssh/sshd_config
Port 2222

修改完后需要重启ssh服务。

3、使用Key登录：

使用Key登录可以避免密码被盗，具体操作可以参考SSH使用Key登录教程。

三、安全登录

1、密码复杂度要求：

在/etc/login.defs文件中修改密码复杂度要求：

# 设置密码最小长度为8
PASS_MIN_LEN 8

# 要求密码必须包含大小写字母、数字和特殊字符
PASS_COMPLEXITY 4

2、限制登录次数：

在/etc/pam.d/system-auth文件中修改登录失败次数限制：

auth        required      pam_tally2.so deny=3 unlock_time=600

以上表示当一个用户输错密码3次后，账号将被锁定，锁定时间为10分钟。

四、文件权限

1、目录权限：

在Linux系统中，所有的文件和目录都有权限，分别对应三个用户：文件所有者、文件所在用户组和其他用户，我们可以使用chmod命令来控制这些权限。

# 将文件所有者的读、写、执行权限设置为rw-
chmod u=rw,go= file.txt

# 将文件所有者和所在组的读、写权限，其他用户的只有读权限
chmod ug=rw,o=r file.txt

2、SSH配置文件权限：

SSH配置文件存放在/etc/ssh/sshd_config文件中，需要设置保护权限，防止被非法修改。

# 设置只有root用户可读写的权限
chmod 600 /etc/ssh/sshd_config

五、日志监控

痕迹分析是服务器安全的重要部分，因此需要配置相应的日志监控。

1、系统日志监控：

在Linux系统中，所有的日志都存储在/var/log目录下，我们可以使用logwatch工具来监控这些日志文件。

# 安装logwatch
yum install logwatch -y

# 配置logwatch，将报告发送到指定邮箱
vi /etc/cron.daily/0logwatch

2、SSH登录监控：

我们可以使用libpam-logintime库来记录SSH登录的时间。

# 安装libpam-logintime
yum install pam_logintime

# 修改/etc/pam.d/sshd文件，添加以下行
session     optional      pam_logintime.so file=/var/log/logintime.log

六、更新系统

一些最新的漏洞可能会危及到服务器的安全，因此需要保证系统中的软件和内核始终是最新的。

在CentOS中，可以使用以下命令来更新系统：

yum -y update

七、其他措施

1、禁用无用的服务：

请使用chkconfig命令来禁用不需要的服务。

# 列出所有服务
chkconfig --list

# 关闭一个服务，以httpd为例
chkconfig httpd off

2、限制SSH连接IP：

在/etc/hosts.allow和/etc/hosts.deny文件中可以指定哪些IP可以访问服务器。

# 禁止所有非本机IP访问
sshd: ALL
vsftpd: ALL
EXCEPT: 127.0.0.1

总结

以上是Linux服务器安全加固措施的一些方案和具体实施方法，实施这些措施可以显著提高服务器的安全性。

原创文章，作者：小蓝，如若转载，请注明出处：https://www.506064.com/n/230414.html