Linux安全基础

用户账户安全

• 强密码策略：确保所有用户使用强密码。
• 最小权限原则：仅授予用户完成任务所需的最小权限。

定期更新系统

• 软件包更新：定期使用包管理器更新系统软件包，以修复安全漏洞。

sudo apt update && sudo apt upgrade  # Debian/Ubuntu
sudo dnf update  # Fedora

SSH安全配置

• 禁用密码认证：使用SSH密钥对进行认证，禁用密码认证。
• 更改SSH端口：将SSH服务运行在非标准端口上。

sudo sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
sudo systemctl restart ssh

管理防火墙

Linux提供了多种防火墙工具，其中最常用的是iptables和firewalld。

使用iptables管理防火墙

iptables是一个强大的防火墙工具，允许你定义复杂的规则。

查看当前的iptables规则

sudo iptables -L

添加规则允许SSH连接

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

添加规则阻止特定IP地址

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

保存iptables规则

sudo iptables-save > /etc/iptables/rules.v4

使用firewalld管理防火墙

firewalld是一个动态防火墙，提供了一个更友好的界面。

启动和停止firewalld服务

sudo systemctl start firewalld
sudo systemctl stop firewalld

添加规则允许SSH连接

sudo firewall-cmd --permanent --zone=public --add-service=ssh
sudo firewall-cmd --reload

添加规则开放特定端口

sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp
sudo firewall-cmd --reload

使用fail2ban进行安全增强

fail2ban是一个扫描日志文件并禁止显示多次登录失败尝试的IP的服务。

安装fail2ban

sudo apt install fail2ban  # Debian/Ubuntu
sudo dnf install fail2ban  # Fedora

配置fail2ban

编辑/etc/fail2ban/jail.local，启用或配置服务。

启动fail2ban服务

sudo systemctl start fail2ban

总结

Linux安全和防火墙配置是保护系统免受未授权访问的重要手段。通过本文，我们学习了如何更新系统软件包、配置SSH服务、使用iptables和firewalld管理防火墙规则，以及使用fail2ban增强系统安全。这些技能将帮助你构建一个更加安全的Linux环境。