大家好,今天跟各位聊聊Linux服务器安全加固这个话题。作为一名安全从业者,经常会被问到:"我的Linux服务器该怎么做安全防护?"今天就给大家带来一份超实用的Linux安全加固指南,包你学会!🚀
一、系统更新先行
兄弟们,系统不更新,啥安全都白扯!第一步,咱们先把系统补丁更新做好:
sudo apt update && sudo apt upgrade -y
🔔小贴士:嫌每次更新麻烦?可以设置自动更新:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
二、SSH安全加固
SSH就像咱们服务器的大门,不加固好就等于把家门随便放着。来看看怎么操作:
1. 禁止root直接登录
编辑这个文件:
sudo nano /etc/ssh/sshd_config
找到PermitRootLogin
,改成:
PermitRootLogin no
2. 用密钥代替密码
这招特别好使!先在自己电脑上生成密钥:
ssh-keygen -t rsa -b 4096
然后把公钥放到服务器上:
ssh-copy-id username@server_ip
关闭密码登录:
PasswordAuthentication no
3. 换个隐蔽的端口
默认22端口太显眼了,换个其他端口,至少能躲掉一半的扫描:
Port 2222
记得每次改完都要重启SSH:
sudo systemctl restart sshd
三、防火墙配置
UFW是Ubuntu自带的防火墙,简单好用!
# 安装UFW
sudo apt install ufw
# 只开放需要的端口
sudo ufw allow 2222/tcp # SSH端口
sudo ufw allow http
sudo ufw allow https
# 启动防火墙
sudo ufw enable
# 查看状态
sudo ufw status
四、用户权限管理
安全的第一条铁律:给最小权限!
1. 创建普通用户
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
0
2. 给sudo权限(按需分配)
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
1
3. 设置sudo超时
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
2
加上这行(5分钟后要重新输密码):
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
3
五、暴力破解防护
Fail2ban是个好东西,能自动封禁那些试图暴力破解的IP:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
4
默认配置就挺好,想调整可以改/etc/fail2ban/jail.local
。
六、病毒防护
ClamAV是Linux下的免费杀毒软件,装上总没错:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
5
七、磁盘加密
特别是笔记本,丢了就麻烦了。建议在安装系统时就选择加密,已经装好的系统可以用LUKS加密重要目录。
八、双因素认证(2FA)
再安全的密码也可能被破解,加个双因素认证保险一点:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
6
九、日志监控
光有防护还不够,得知道谁来过:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
7
十、精简服务
没用的服务都关掉,能少一个攻击面是一个:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
8
写在最后
以上这些配置,都是我在实战中反复验证过的。但记住,安全不是一劳永逸的事情,需要持续关注和维护。建议大家把这些配置做成脚本,方便重复使用。
觉得文章有用的话,别忘了点个赞👍,关注我的公众号【HW安全之路】,更多安全干货等着你!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...