《Linux 简易速速上手小册》第8章: 安全性与加固（2024 最新版）_安全加固的linux 8

8.1 防火墙与安全策略

在 Linux 的安全领域，防火墙是你的第一道防线，保护系统不受未授权访问的侵害。想象你的系统是一座宝藏满满的城堡，防火墙就是围绕城堡的高墙和护城河，阻挡那些试图盗取宝藏的海盗。

8.1.1 重点基础知识

• iptables: Linux 的传统防火墙工具，使用链和规则来控制进出网络数据包。它就像城堡的守卫，根据规则允许或拒绝访问。
• firewalld: 一个动态防火墙管理工具，使用 zones 和 services 的概念来简化管理。它提供了更灵活的配置和更易于理解的界面，就像是城堡有不同的防御区域，每个区域都有特定的守卫任务。
• ufw (Uncomplicated Firewall): 为那些希望通过简单命令管理防火墙的用户设计。ufw 通过简化 iptables 的配置过程，使得管理防火墙规则变得更加直观。

8.1.2 重点案例：配置 iptables 以保护 Web 服务器

假设你正在运行一个 Web 服务器，需要配置 iptables 防火墙以保护它免受未授权访问，同时确保外界可以访问 HTTP 和 HTTPS 服务。

1. 允许 HTTP 和 HTTPS 流量:

   sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
   1
   2

2. 拒绝默认入站流量:

   sudo iptables -P INPUT DROP
   1

   这条规则意味着如果没有明确允许的规则，则拒绝所有入站流量。

3. 允许所有出站流量:

   sudo iptables -P OUTPUT ACCEPT
   1

   这确保了服务器可以自由地连接到外界。

4. 允许来自已建立连接的数据包:

   sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   1

   这条规则允许那些作为响应服务器请求的流量。

8.1.3 拓展案例 1：使用 firewalld 配置动态防御区域

如果你的系统使用 firewalld，你可以为 Web 服务器配置一个专门的防御区域，更细致地管理规则。

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload
1
2
3

8.1.4 拓展案例 2：配置 ufw 以简化管理

对于更倾向于简单性的用户，使用 ufw 来配置基本的 Web 服务器防护措施是一个不错的选择。

sudo ufw allow http
sudo ufw allow https
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable
1
2
3
4
5

通过这些案例，我们可以看到，无论是使用传统的 iptables，还是更现代的 firewalld 或 ufw，Linux 提供了多种工具来帮助你构建和管理防火墙，保护你的系统安全。掌握这些工具的使用，就像是学会了如何构建和维护城堡的高墙和护城河，确保宝藏安全。

---

8.2 SSH 安全最佳实践

在 Linux 宝库中，SSH (Secure Shell) 是一把钥匙，它让你能远程访问并管理你的系统。但如果这把钥匙落入了海盗手中，那你的宝藏就危险了。因此，保护好你的 SSH 服务是至关重要的。让我们来看看一些 SSH 安全最佳实践，确保你的宝藏箱安全无虞。

8.2.1 重点基础知识

• 使用密钥认证代替密码：SSH 密钥提供了比传统密码更强的安全性，它几乎不可能被暴力破解。
• 禁用 root 登录：通过 SSH 以 root 用户直接登录是一个巨大的安全风险。最佳做法是使用普通用户登录，然后在必要时切换到 root。
• 更改默认的 SSH 端口：将 SSH 从默认的 22 端口更改到其他端口，可以减少自动化攻击的风险。
• 使用防火墙限制访问：只允许可信的 IP 地址连接到你的 SSH 服务。

8.2.2 重点案例：加固 SSH 配置

假设你是一名系统管理员，需要加固一台公网服务器的 SSH 服务。

1. 生成 SSH 密钥对：
   在客户端机器上生成一个 SSH 密钥对。

   ssh-keygen -t rsa -b 4096
   1

2. 禁用 SSH 中的 root 登录：
   编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no。

3. 更改 SSH 默认端口：
   在同一配置文件中，更改 Port 项，例如 Port 2222。

4. 配置防火墙限制：
   仅允许来自特定 IP 的 SSH 访问。

   sudo ufw allow from 192.168.1.0/24 to any port 2222
   sudo ufw enable
   1
   2

5. 重启 SSH 服务：
   应用更改并重启 SSH 服务。

   sudo systemctl restart sshd
   1

8.2.3 拓展案例：使用 Fail2Ban 保护 SSH

Fail2Ban 是一个防止暴力破解的工具，它监视登录尝试，并在多次失败后暂时或永久地封禁来源 IP。

sudo apt-get install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
1
2
3

• 限制 SSH 用户登录：

  如果只有少数用户需要通过 SSH 访问服务器，可以在 /etc/ssh/sshd_config 中使用 AllowUsers 指令限制这些用户。

  AllowUsers user1 user2
  1

通过实施这些 SSH 安全最佳实践，你就为你的 Linux 系统搭建了一道坚固的防线，保护它免受未授权访问的威胁。记住，保持警惕，定期审查和更新你的安全策略，是维护系统安全的关键。

---

8.3 系统安全扫描与加固

在 Linux 安全的战场上，知己知彼是赢得胜利的关键。系统安全扫描和加固就是你的侦察兵和工程师，它们帮助你发现潜在的弱点，并加以强化，保证堡垒坚不可摧。

8.3.1 重点基础知识

• 系统安全扫描：使用各种工具检测系统中的安全漏洞、恶意软件和配置错误。这就像是派出侦察队，寻找可能被敌人利用的弱点。
• ClamAV：一个开源的防病毒软件，能够检测各种恶意软件和病毒。它就像是城墙上的哨兵，警惕着外来的威胁。
• Lynis：一个安全审计工具，用于对系统进行全面的安全扫描，并提出加固建议。它就像是你的军事顾问，为你提供防御策略。

8.3.2 重点案例：使用 Lynis 执行系统安全审计

假设你是一名系统管理员，需要对一台公网服务器进行安全审计，以识别潜在的安全问题并加以解决。

1. 安装 Lynis：
   在大多数 Linux 发行版中，Lynis 都可以通过包管理器安装。

   sudo apt-get install lynis   # Debian/Ubuntu
   sudo yum install lynis       # CentOS/RHEL
   sudo dnf install lynis       # Fedora
   1
   2
   3

2. 运行安全扫描：
   使用 Lynis 对系统进行全面的安全扫描。

   sudo lynis audit system
   1

   扫描完成后，Lynis 会提供一份详细的报告，包括发现的警告、建议和需要人工检查的项目。

3. 根据建议加固系统：
   遵循 Lynis 报告中的建议，对系统进行加固。这可能包括更新软件包、更改配置设置、限制用户权限等。

8.3.3 拓展案例 1：定期使用 ClamAV 扫描恶意软件

配置定期任务，使用 ClamAV 对系统进行恶意软件扫描，及时发现并处理安全威胁。

clamscan -r /home   # 扫描 /home 目录
1

8.3.4 拓展案例 2：使用防火墙和 Fail2Ban 增强网络安全

除了系统安全扫描和加固外，使用防火墙和 Fail2Ban 可以进一步增强系统的网络安全。

• 配置防火墙规则，限制不必要的入站和出站连接。
• 使用 Fail2Ban 监控登录尝试，自动封禁频繁失败的 IP 地址。

通过这些策略和工具，你可以有效地增强 Linux 系统的安全性，防止潜在的攻击和威胁。记住，系统安全是一个持续的过程，定期的审计和更新是保持系统安全不可或缺的一部分。