Bagaimana untuk mengkonfigurasi dan melindungi keselamatan rangkaian sistem Linux

Dengan aplikasi sistem Linux yang meluas, keselamatan rangkaian telah menjadi tugas yang penting. Semasa menghadapi pelbagai ancaman keselamatan, pentadbir sistem perlu melaksanakan konfigurasi keselamatan rangkaian dan langkah perlindungan untuk pelayan. Artikel ini akan memperkenalkan cara mengkonfigurasi dan melindungi keselamatan rangkaian pada sistem Linux, dan menyediakan beberapa contoh kod khusus.

1. Konfigurasi Sistem Firewall
   Linux menggunakan iptables sebagai firewall secara lalai, yang boleh dikonfigurasi melalui perintah berikut:

# 关闭现有防火墙
service iptables stop

# 清空iptables规则
iptables -F

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 其他访问一律禁止
iptables -P INPUT DROP
iptables -P FORWARD DROP

2. Close perkhidmatan yang tidak perlu - sistem linux, sering terdapat beberapa perkhidmatan yang tidak perlu yang berjalan di latar belakang akan menduduki sumber pelayan dan juga membawa potensi risiko keselamatan kepada sistem. Perkhidmatan yang tidak diperlukan boleh ditutup dengan arahan berikut:
   

# 关闭NFS服务
service nfs stop
chkconfig nfs off

# 关闭X Window图形界面
yum groupremove "X Window System"

# 关闭FTP服务
service vsftpd stop
chkconfig vsftpd off

Salin selepas log masuk

Pasang dan gunakan Fail2ban
3. Fail2ban ialah alat keselamatan sumber terbuka yang boleh memantau keadaan rangkaian, mengesan percubaan log masuk yang mencurigakan dan menyenaraihitamkan secara automatik melalui sekatan firewall untuk melindungi rangkaian dengan berkesan keselamatan. Fail2ban boleh dipasang dengan arahan berikut:
   

yum install fail2ban -y

Salin selepas log masuk

# 在jail.conf文件中添加一行：
[my_sshd]
enabled = true
port = ssh
filter = my_sshd
logpath = /var/log/secure
maxretry = 3

# 在/etc/fail2ban/filter.d/目录下，创建my_sshd.conf文件，然后编辑：
[Definition]
failregex = .*Failed (password|publickey).* from <HOST>
ignoreregex =

SSH sangat berkuasa dan SSH
4. Configure Protokol log masuk jauh yang digunakan secara meluas juga menjadi sasaran banyak serangan penggodam. Oleh itu, anda perlu mengambil beberapa langkah keselamatan apabila menggunakan SSH:
   

# 修改SSH默认端口
vim /etc/ssh/sshd_config
# 将Port 22修改为其他端口，例如：
Port 22222

# 禁止root登录
vim /etc/ssh/sshd_config
# 将PermitRootLogin yes修改为PermitRootLogin no

# 限制用户登录
vim /etc/ssh/sshd_config
# 添加以下内容：
AllowUsers user1 user2

Salin selepas log masuk

Lumpuhkan IPv6
5. Dalam kebanyakan persekitaran rangkaian pelayan, IPv6 tidak diperlukan dengan berkesan mengurangkan risiko serangan sistem:
   

# 添加以下内容到/etc/sysctl.conf文件中：
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 使用以下命令生效：
sysctl -p

Salin selepas log masuk
Ringkasan ini. artikel memperkenalkan cara mengkonfigurasi dan melindungi keselamatan rangkaian pada sistem Linux, termasuk mengkonfigurasi tembok api, menutup perkhidmatan yang tidak diperlukan, memasang dan menggunakan Fail2ban, mengkonfigurasi SSH dan melumpuhkan IPv6. Kod sampel yang disediakan dalam artikel ini boleh membantu pentadbir menyelesaikan kerja keselamatan rangkaian dengan lebih mudah dan cepat. Dalam aplikasi praktikal, pelarasan dan penambahbaikan yang sepadan hendaklah dibuat mengikut keadaan tertentu.

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi dan melindungi keselamatan rangkaian sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!