Mengeraskan Pelayan Linux: Tingkatkan Keselamatan dengan Alat Baris Perintah

Mengeraskan Pelayan Linux: Meningkatkan Keselamatan dengan Alat Baris Perintah

Ikhtisar:
Dengan perkembangan Internet, pelayan Linux menjadi semakin popular. Walau bagaimanapun, apabila bilangan pelayan terus berkembang, isu keselamatan pelayan telah menjadi semakin ketara. Untuk memastikan keselamatan pelayan, pentadbir perlu mengambil beberapa langkah untuk mengeraskan pelayan. Dalam artikel ini, kami akan menyerlahkan beberapa alat baris arahan yang boleh membantu pentadbir meningkatkan keselamatan pelayan.

1. Pengurusan Dasar Kata Laluan

Pada pelayan Linux, dasar kata laluan adalah sangat penting. Dengan menetapkan dasar kata laluan yang sesuai, anda boleh mengurangkan risiko kata laluan diteka dan dipecahkan. Berikut ialah beberapa alatan baris arahan yang boleh digunakan untuk mengurus dasar kata laluan:

• passwd: digunakan untuk menukar kata laluan pengguna dan boleh memaksa kata laluan yang kompleks.
• chage: Digunakan untuk menetapkan masa tamat tempoh kata laluan dan pilihan kunci akaun.
• pam_pwquality: digunakan untuk menetapkan keperluan kualiti kata laluan, seperti panjang, kerumitan, dsb.

Contoh kod:

# 设置密码过期时间为30天
chage -M 30 username

# 设置密码必须包含数字和特殊字符，并且长度不少于6个字符
pam_pwquality --retry=3 --minlen=6 --minclass=2 --enforce-for-root

2. Konfigurasi firewall

Firewall ialah salah satu komponen penting untuk melindungi pelayan daripada capaian yang tidak dibenarkan. Berikut ialah beberapa alatan baris arahan yang biasa digunakan yang boleh digunakan untuk mengkonfigurasi firewall:

• iptables: Alat firewall yang paling biasa digunakan di Linux, anda boleh mengawal masuk dan keluar paket data dengan menetapkan peraturan.
• ufw: Alat konfigurasi firewall pada Ubuntu Linux, yang boleh memudahkan konfigurasi iptables.
• firewalld: Alat konfigurasi firewall pada CentOS dan Fedora, menyediakan pilihan konfigurasi yang lebih maju.

Contoh kod:

# 配置iptables，只允许SSH和HTTP流量通过
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

# 使用ufw配置防火墙
ufw allow ssh
ufw allow http
ufw default deny
ufw --force enable

# 使用firewalld配置防火墙
firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload

3. Konfigurasi SSH

SSH ialah cara pilihan untuk pentadbir mengurus pelayan Linux dari jauh, jadi adalah sangat penting untuk melindungi keselamatan SSH. Berikut ialah beberapa alatan baris arahan yang boleh digunakan untuk mengeraskan SSH:

• sshd_config: Fail konfigurasi pelayan SSH Anda boleh mengedit fail ini untuk mengehadkan kaedah log masuk, melumpuhkan log masuk kata laluan kosong, dsb.
• ssh-keygen: Digunakan untuk menjana pasangan kunci untuk menyediakan sambungan SSH yang lebih selamat.
• fail2ban: Digunakan untuk mengelakkan keretakan SSH brute force dan boleh melumpuhkan alamat IP secara automatik berdasarkan bilangan log masuk yang gagal.

Contoh kod:

# 禁用空密码登录
sed -i 's/#PermitEmptyPasswords yes/PermitEmptyPasswords no/' /etc/ssh/sshd_config

# 限制登录用户和用户组
sed -i 's/#AllowUsers/AllowUsers/' /etc/ssh/sshd_config
sed -i 's/#AllowGroups/AllowGroups/' /etc/ssh/sshd_config

# 生成SSH密钥对
ssh-keygen -t rsa -b 4096

# 安装fail2ban
apt-get install fail2ban -y
systemctl enable fail2ban

Kesimpulan:
Dengan menggunakan alat baris arahan ini, pentadbir boleh mengeraskan pelayan Linux dan meningkatkan keselamatan pelayan. Walau bagaimanapun, alat ini hanya sebahagian daripada pengerasan pelayan Anda juga perlu memberi perhatian kepada langkah keselamatan lain, seperti pengemaskinian tampalan sistem tepat pada masanya, log pemantauan, dsb. Hanya dengan mengambil langkah keselamatan yang komprehensif pelayan anda boleh dilindungi daripada pelbagai ancaman.

Apabila menguruskan pelayan Linux, sentiasa berwaspada dan bertindak balas terhadap isu keselamatan tepat pada masanya untuk memastikan keselamatan pelayan.

Atas ialah kandungan terperinci Mengeraskan Pelayan Linux: Tingkatkan Keselamatan dengan Alat Baris Perintah. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!