您的位置:

Linux服务器安全加固措施

一、防火墙

防火墙是保护服务器安全的第一道防线。在Linux服务器上,我们可以使用iptables进行防火墙的配置。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP

以上代码先允许ssh、http和https的访问,再拒绝其他全部访问。

二、SSH安全

SSH是远程连接服务器的常用方式,但也是黑客攻击的重点。我们可以通过以下措施增强SSH的安全性:

1、禁止root用户直接登录:

# 修改ssh配置文件/etc/ssh/sshd_config
PermitRootLogin no

2、改变SSH端口号:

# 修改ssh配置文件/etc/ssh/sshd_config
Port 2222

修改完后需要重启ssh服务。

3、使用Key登录:

使用Key登录可以避免密码被盗,具体操作可以参考SSH使用Key登录教程。

三、安全登录

1、密码复杂度要求:

在/etc/login.defs文件中修改密码复杂度要求:

# 设置密码最小长度为8
PASS_MIN_LEN 8

# 要求密码必须包含大小写字母、数字和特殊字符
PASS_COMPLEXITY 4

2、限制登录次数:

在/etc/pam.d/system-auth文件中修改登录失败次数限制:

auth        required      pam_tally2.so deny=3 unlock_time=600

以上表示当一个用户输错密码3次后,账号将被锁定,锁定时间为10分钟。

四、文件权限

1、目录权限:

在Linux系统中,所有的文件和目录都有权限,分别对应三个用户:文件所有者、文件所在用户组和其他用户,我们可以使用chmod命令来控制这些权限。

# 将文件所有者的读、写、执行权限设置为rw-
chmod u=rw,go= file.txt

# 将文件所有者和所在组的读、写权限,其他用户的只有读权限
chmod ug=rw,o=r file.txt

2、SSH配置文件权限:

SSH配置文件存放在/etc/ssh/sshd_config文件中,需要设置保护权限,防止被非法修改。

# 设置只有root用户可读写的权限
chmod 600 /etc/ssh/sshd_config

五、日志监控

痕迹分析是服务器安全的重要部分,因此需要配置相应的日志监控。

1、系统日志监控:

在Linux系统中,所有的日志都存储在/var/log目录下,我们可以使用logwatch工具来监控这些日志文件。

# 安装logwatch
yum install logwatch -y

# 配置logwatch,将报告发送到指定邮箱
vi /etc/cron.daily/0logwatch

2、SSH登录监控:

我们可以使用libpam-logintime库来记录SSH登录的时间。

# 安装libpam-logintime
yum install pam_logintime

# 修改/etc/pam.d/sshd文件,添加以下行
session     optional      pam_logintime.so file=/var/log/logintime.log

六、更新系统

一些最新的漏洞可能会危及到服务器的安全,因此需要保证系统中的软件和内核始终是最新的。

在CentOS中,可以使用以下命令来更新系统:

yum -y update

七、其他措施

1、禁用无用的服务:

请使用chkconfig命令来禁用不需要的服务。

# 列出所有服务
chkconfig --list

# 关闭一个服务,以httpd为例
chkconfig httpd off

2、限制SSH连接IP:

在/etc/hosts.allow和/etc/hosts.deny文件中可以指定哪些IP可以访问服务器。

# 禁止所有非本机IP访问
sshd: ALL
vsftpd: ALL
EXCEPT: 127.0.0.1

总结

以上是Linux服务器安全加固措施的一些方案和具体实施方法,实施这些措施可以显著提高服务器的安全性。