一、防火墙
防火墙是保护服务器安全的第一道防线。在Linux服务器上,我们可以使用iptables进行防火墙的配置。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP
以上代码先允许ssh、http和https的访问,再拒绝其他全部访问。
二、SSH安全
SSH是远程连接服务器的常用方式,但也是黑客攻击的重点。我们可以通过以下措施增强SSH的安全性:
1、禁止root用户直接登录:
# 修改ssh配置文件/etc/ssh/sshd_config
PermitRootLogin no
2、改变SSH端口号:
# 修改ssh配置文件/etc/ssh/sshd_config
Port 2222
修改完后需要重启ssh服务。
3、使用Key登录:
使用Key登录可以避免密码被盗,具体操作可以参考SSH使用Key登录教程。
三、安全登录
1、密码复杂度要求:
在/etc/login.defs文件中修改密码复杂度要求:
# 设置密码最小长度为8
PASS_MIN_LEN 8
# 要求密码必须包含大小写字母、数字和特殊字符
PASS_COMPLEXITY 4
2、限制登录次数:
在/etc/pam.d/system-auth文件中修改登录失败次数限制:
auth required pam_tally2.so deny=3 unlock_time=600
以上表示当一个用户输错密码3次后,账号将被锁定,锁定时间为10分钟。
四、文件权限
1、目录权限:
在Linux系统中,所有的文件和目录都有权限,分别对应三个用户:文件所有者、文件所在用户组和其他用户,我们可以使用chmod命令来控制这些权限。
# 将文件所有者的读、写、执行权限设置为rw-
chmod u=rw,go= file.txt
# 将文件所有者和所在组的读、写权限,其他用户的只有读权限
chmod ug=rw,o=r file.txt
2、SSH配置文件权限:
SSH配置文件存放在/etc/ssh/sshd_config文件中,需要设置保护权限,防止被非法修改。
# 设置只有root用户可读写的权限
chmod 600 /etc/ssh/sshd_config
五、日志监控
痕迹分析是服务器安全的重要部分,因此需要配置相应的日志监控。
1、系统日志监控:
在Linux系统中,所有的日志都存储在/var/log目录下,我们可以使用logwatch工具来监控这些日志文件。
# 安装logwatch
yum install logwatch -y
# 配置logwatch,将报告发送到指定邮箱
vi /etc/cron.daily/0logwatch
2、SSH登录监控:
我们可以使用libpam-logintime库来记录SSH登录的时间。
# 安装libpam-logintime
yum install pam_logintime
# 修改/etc/pam.d/sshd文件,添加以下行
session optional pam_logintime.so file=/var/log/logintime.log
六、更新系统
一些最新的漏洞可能会危及到服务器的安全,因此需要保证系统中的软件和内核始终是最新的。
在CentOS中,可以使用以下命令来更新系统:
yum -y update
七、其他措施
1、禁用无用的服务:
请使用chkconfig命令来禁用不需要的服务。
# 列出所有服务
chkconfig --list
# 关闭一个服务,以httpd为例
chkconfig httpd off
2、限制SSH连接IP:
在/etc/hosts.allow和/etc/hosts.deny文件中可以指定哪些IP可以访问服务器。
# 禁止所有非本机IP访问
sshd: ALL
vsftpd: ALL
EXCEPT: 127.0.0.1
总结
以上是Linux服务器安全加固措施的一些方案和具体实施方法,实施这些措施可以显著提高服务器的安全性。
