Maison > Article > Opération et maintenance > Environnement de serveur Linux sécurisé : configurer et sécuriser à l'aide de la ligne de commande
Environnement serveur Linux sécurisé : utilisation de la ligne de commande pour la configuration et la protection
Résumé :
Le système d'exploitation Linux est largement utilisé dans le domaine des serveurs, mais il comporte également le défi de la sécurité des serveurs. Cet article explique comment utiliser la ligne de commande pour configurer et protéger l'environnement du serveur Linux afin d'assurer sa sécurité. Nous aborderons les problèmes courants de configuration de sécurité et fournirons quelques exemples de code utiles.
SSH est un outil courant pour la gestion de serveurs distants, mais la configuration par défaut peut présenter des risques de sécurité. Voici quelques méthodes de configuration recommandées :
1.1 Désactiver la connexion de l'utilisateur root
Dans le fichier /etc/ssh/sshd_config, modifiez la valeur de PermitRootLogin sur no pour interdire à l'utilisateur root de se connecter au serveur via SSH.
Exemple de code :
sudo nano /etc/ssh/sshd_config
Recherchez PermitRootLogin et modifiez-le en non. Enregistrez le fichier et redémarrez le service SSH.
sudo service ssh restart
1.2 Utilisation de l'authentification par clé publique
L'authentification par clé publique offre une sécurité renforcée car elle ne repose pas sur des mots de passe. Utilisez la commande ssh-keygen pour générer une paire de clés publique-privée et téléchargez la clé publique dans le fichier ~/.ssh/authorized_keys du serveur.
Exemple de code :
ssh-keygen ssh-copy-id user@server_ip
2.1 Configuration du pare-feu
La configuration du pare-feu est une étape importante pour protéger le serveur. Sous Linux, utilisez iptables ou firewalld pour la configuration du pare-feu. Voici quelques règles de base du pare-feu :
Exemple de code :
sudo iptables -P INPUT DROP # 默认拒绝所有入站连接 sudo iptables -P FORWARD DROP # 默认拒绝所有转发连接 sudo iptables -P OUTPUT ACCEPT # 允许所有出站连接 sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # 允许已建立的连接 sudo iptables -A INPUT -p icmp -j ACCEPT # 允许ping请求 sudo iptables -A INPUT -i lo -j ACCEPT # 允许本地回环接口
2.2 Configuration de la sécurité du réseau
La sécurité du réseau est également un aspect important de la sécurité du serveur. Voici quelques suggestions de configuration de la sécurité réseau :
2.2.1 Désactiver les services inutiles
Sous Linux, les services inutiles peuvent être désactivés via la commande systemctl pour réduire les risques de sécurité potentiels.
Exemple de code :
sudo systemctl disable service_name
2.2.2 Activer le cookie SYN pour empêcher les attaques par inondation SYN
Le cookie SYN peut empêcher efficacement les attaques par inondation SYN Vous pouvez activer le cookie SYN via la commande suivante :
Exemple de code :
sudo sysctl -w net.ipv4.tcp_syncookies=1
3.1 Mettre à jour régulièrement les progiciels
La mise à jour des progiciels en temps opportun est la clé du maintien de la sécurité du serveur. Les packages peuvent être mis à jour régulièrement à l'aide de la commande suivante :
Exemple de code :
sudo apt update sudo apt upgrade
3.2 Surveillance de l'activité du serveur
La surveillance de l'activité du serveur permet de détecter et de répondre rapidement aux menaces de sécurité potentielles. La surveillance et le traçage des journaux peuvent être réalisés à l'aide d'outils tels que fail2ban ou logwatch.
Exemple de code :
sudo apt install fail2ban sudo apt install logwatch
Conclusion :
Cet article présente comment configurer et protéger un environnement de serveur Linux à l'aide de la ligne de commande, y compris l'importance de renforcer l'accès SSH, de configurer les pare-feu et la sécurité du réseau, ainsi que de mettre à jour et de surveiller régulièrement l'activité du serveur. . J'espère que les lecteurs pourront améliorer la sécurité du serveur Linux grâce à ces méthodes et protéger le serveur contre les menaces de sécurité potentielles.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!