Maison >Opération et maintenance >exploitation et maintenance Linux >Comment configurer et protéger la sécurité du réseau sur les systèmes Linux

Comment configurer et protéger la sécurité du réseau sur les systèmes Linux

王林
王林original
2023-11-08 10:45:231162parcourir

Comment configurer et protéger la sécurité du réseau sur les systèmes Linux

Avec l'application généralisée des systèmes Linux, la sécurité des réseaux est devenue une tâche vitale. Face à diverses menaces de sécurité, les administrateurs système doivent mettre en œuvre une configuration de sécurité réseau et des mesures de protection pour les serveurs. Cet article explique comment configurer et protéger la sécurité du réseau sur les systèmes Linux et fournit des exemples de code spécifiques.

  1. Configurer le pare-feu
    Le système Linux utilise iptables comme pare-feu par défaut, qui peut être configuré via la commande suivante :
# 关闭现有防火墙
service iptables stop

# 清空iptables规则
iptables -F

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 其他访问一律禁止
iptables -P INPUT DROP
iptables -P FORWARD DROP
  1. Fermer les services inutiles
    Dans les systèmes Linux, certains services inutiles s'exécutent souvent en arrière-plan. occupera les ressources du serveur et entraînera également des risques de sécurité potentiels pour le système. Les services inutiles peuvent être arrêtés avec la commande suivante :
# 关闭NFS服务
service nfs stop
chkconfig nfs off

# 关闭X Window图形界面
yum groupremove "X Window System"

# 关闭FTP服务
service vsftpd stop
chkconfig vsftpd off
  1. Installer et utiliser Fail2ban
    Fail2ban est un outil de sécurité open source qui peut surveiller les conditions du réseau, détecter les tentatives de connexion suspectes et mettre automatiquement sur liste noire les restrictions du pare-feu pour protéger efficacement le réseau. sécurité. Fail2ban peut être installé avec la commande suivante :
yum install fail2ban -y

Fichier de configuration : /etc/fail2ban/jail.conf

Ajouter des règles personnalisées :

# 在jail.conf文件中添加一行:
[my_sshd]
enabled = true
port = ssh
filter = my_sshd
logpath = /var/log/secure
maxretry = 3

Créer des règles de filtre :

# 在/etc/fail2ban/filter.d/目录下,创建my_sshd.conf文件,然后编辑:
[Definition]
failregex = .*Failed (password|publickey).* from <HOST>
ignoreregex =
  1. Configurer SSH
    SSH est un outil très puissant et Le protocole de connexion à distance, largement utilisé, est également la cible de nombreuses attaques de pirates informatiques. Par conséquent, vous devez prendre certaines mesures de sécurité lorsque vous utilisez SSH :
# 修改SSH默认端口
vim /etc/ssh/sshd_config
# 将Port 22修改为其他端口,例如:
Port 22222

# 禁止root登录
vim /etc/ssh/sshd_config
# 将PermitRootLogin yes修改为PermitRootLogin no

# 限制用户登录
vim /etc/ssh/sshd_config
# 添加以下内容:
AllowUsers user1 user2
  1. Désactivez IPv6
    Dans la plupart des environnements réseau de serveurs, IPv6 n'est pas requis. La désactivation d'IPv6 peut réduire efficacement le risque d'attaques du système :
# 添加以下内容到/etc/sysctl.conf文件中:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 使用以下命令生效:
sysctl -p

Résumé
Ceci. L'article explique comment configurer et protéger la sécurité du réseau sur les systèmes Linux, notamment la configuration des pare-feu, l'arrêt des services inutiles, l'installation et l'utilisation de Fail2ban, la configuration de SSH et la désactivation d'IPv6. L'exemple de code fourni dans cet article peut aider les administrateurs à effectuer le travail de sécurité du réseau de manière plus pratique et plus rapide. Dans les applications pratiques, les ajustements et améliorations correspondants doivent être apportés en fonction de circonstances spécifiques.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn