Maison >Opération et maintenance >exploitation et maintenance Linux >Meilleure pratique : utilisez les outils de ligne de commande pour améliorer la sécurité de votre serveur Linux
Meilleure pratique : utilisez des outils de ligne de commande pour améliorer la sécurité de votre serveur Linux
Introduction :
Le serveur Linux est le système d'exploitation de choix pour de nombreuses entreprises et utilisateurs individuels, il offre une excellente stabilité et sécurité. Cependant, sans mesures de sécurité appropriées, les serveurs restent exposés à des menaces potentielles. Cet article présentera quelques bonnes pratiques d'utilisation des outils de ligne de commande pour améliorer la sécurité des serveurs Linux et vous aider à protéger vos serveurs contre les intrus malveillants.
1. Utilisez un pare-feu pour protéger votre serveur
Un pare-feu est la première ligne de défense pour la sécurité du serveur. Il peut filtrer le trafic réseau et autoriser uniquement le passage des connexions autorisées. Sous Linux, vous pouvez utiliser l'outil iptables pour configurer et gérer les règles de pare-feu. Voici quelques exemples de commandes iptables couramment utilisées :
Autoriser les connexions sur des ports spécifiques :
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Refuser toutes les autres connexions :
iptables -P INPUT DROP
Autoriser les connexions établies et les connexions associées :
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
afficher le pare-feu actuel règles :
iptables -L
Les commandes ci-dessus ne sont que quelques exemples simples, vous pouvez personnaliser des règles plus complexes pour protéger le serveur en fonction de vos besoins.
2. Utilisez Fail2Ban pour empêcher le craquage par force brute
Fail2Ban est un outil de prévention des intrusions populaire qui peut détecter les tentatives de connexion infructueuses répétées et interdire temporairement l'adresse IP source. Voici un exemple d'installation et de configuration de Fail2Ban :
Installer Fail2Ban :
sudo apt-get install fail2ban
/etc/fail2ban/jail.conf
pour activer et configurer les règles Fail2Ban. . /etc/fail2ban/jail.conf
文件以启用和配置Fail2Ban规则。启动Fail2Ban:
sudo service fail2ban start
Fail2Ban将会监视登录日志文件(如/var/log/auth.log
),并在检测到暴力破解尝试后,自动封禁源IP地址。
三、使用SSH密钥登录
SSH密钥登录是一种更安全的登录方式,相较于传统的基于密码的登录方式,它提供了更高的安全性。以下是使用SSH密钥登录的示例:
生成SSH密钥:
ssh-keygen -t rsa
将公钥复制到服务器:
ssh-copy-id user@server_ip
/etc/ssh/sshd_config
文件,将PasswordAuthentication
设置为no
ssh -L local_port:remote_host:remote_port user@server_ipFail2Ban surveillera le fichier journal de connexion (tel que
/var/log/auth.log
) et bannira automatiquement l'adresse IP source après avoir détecté une tentative de force brute. adresse. 3. Connectez-vous à l'aide de la clé SSHssh -R remote_port:local_host:local_port user@server_ip
rrreee
Désactivez la journalisation du mot de passe :
Veuillez modifier /etc/ ssh/ sshd_config
, définissez PasswordAuthentication
sur no
et redémarrez le service SSH.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!