Configuration de la sécurité du serveur Linux : améliorer les capacités de défense du système
Avec le développement rapide d'Internet, les problèmes de sécurité des serveurs sont devenus de plus en plus importants. Afin de protéger la stabilité du serveur et la sécurité des données, l'administrateur du serveur doit renforcer la configuration de sécurité du serveur Linux. Cet article présentera certaines méthodes courantes de configuration de la sécurité des serveurs Linux et fournira des exemples de code pertinents pour aider les administrateurs à améliorer les capacités de défense du système.
- Mettre à jour le système d'exploitation et les progiciels
Maintenir à jour le système d'exploitation et les progiciels du serveur est l'une des étapes importantes pour assurer la sécurité du serveur. La mise à jour en temps opportun des systèmes et des progiciels peut corriger les vulnérabilités découvertes et fournir des fonctionnalités de sécurité plus puissantes. Voici un exemple de code permettant d'utiliser yum pour mettre à jour le système et les packages logiciels dans le système CentOS :
sudo yum update
Copier après la connexion
- Désactiver les services inutiles
Le serveur Linux démarre de nombreux services inutiles par défaut, ce qui peut devenir une opportunité potentielle pour les attaquants d'envahir le système. . Tous les services activés sur le serveur doivent être soigneusement examinés et les services inutiles désactivés en fonction des besoins réels. Voici un exemple de code pour désactiver un service dans le système CentOS :
sudo systemctl stop <service-name>
sudo systemctl disable <service-name>
Copier après la connexion
- Configuration du pare-feu
Le pare-feu est l'un des composants clés pour protéger le serveur contre les attaques réseau. En configurant des règles de pare-feu, vous pouvez limiter les adresses IP, les ports et les protocoles auxquels le serveur autorise l'accès. Voici un exemple de code pour utiliser le service de configuration de pare-feu firewalld dans un système CentOS :
# 启动防火墙服务
sudo systemctl start firewalld
# 开启SSH访问
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --reload
# 开启Web服务访问
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload
Copier après la connexion
- Configuration de l'accès SSH
SSH est un moyen courant pour les administrateurs de se connecter au serveur à distance. Afin d'augmenter la sécurité de l'accès SSH, vous pouvez effectuer les configurations suivantes :
- Modifier le port par défaut SSH : Changer le port par défaut 22 en un port non commun peut réduire le risque de craquage par force brute.
- Désactiver la connexion de l'utilisateur root : interdire aux utilisateurs root d'utiliser directement SSH pour se connecter au serveur peut augmenter la difficulté d'intrusion pour les attaquants.
- Configurer la connexion par clé publique : l'utilisation d'une paire de clés pour vous connecter au serveur au lieu d'un mot de passe peut offrir une sécurité accrue.
Ce qui suit est un exemple de code pour modifier le fichier de configuration SSH :
sudo vi /etc/ssh/sshd_config
# 修改SSH默认端口
Port 2222
# 禁用root用户登录
PermitRootLogin no
# 配置公钥登录
RSAAuthentication yes
PubkeyAuthentication yes
Copier après la connexion
Une fois la modification terminée, utilisez la commande suivante pour redémarrer le service SSH :
sudo systemctl restart sshd
Copier après la connexion
- Ajouter des restrictions contre le craquage par force brute
Afin d'éviter craquage par force brute des mots de passe SSH, vous pouvez ajouter un mécanisme de restriction, limiter le nombre et l'intervalle de temps des connexions SSH ayant échoué. Voici un exemple de code qui utilise l'outil fail2ban pour limiter les attaques par force brute SSH :
# 安装fail2ban
sudo yum install epel-release
sudo yum install fail2ban
# 创建自定义配置文件
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# 编辑配置文件
sudo vi /etc/fail2ban/jail.local
# 修改SSH相关配置
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
maxretry = 3
bantime = 3600
# 启动fail2ban服务
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Copier après la connexion
Vous trouverez ci-dessus quelques méthodes de configuration de sécurité du serveur Linux et des exemples de codes courants. Bien entendu, il existe de nombreux autres aspects auxquels il faut prêter attention en matière de sécurité du serveur, tels que la configuration des autorisations de fichiers appropriées, l'utilisation de mots de passe forts, etc. Lors de la configuration de la sécurité du serveur, les administrateurs doivent prendre en compte de manière globale l'environnement et les besoins réels du serveur et formuler raisonnablement des politiques de sécurité pour améliorer les capacités de défense du système.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!