為了提升linux系統的安全性,合理配置防火墻是必不可少的環節。以下是一些核心操作和建議,幫助你增強Linux防火墻的安全防護能力:
選擇合適的防火墻工具
- iptables:作為Linux內核自帶的命令行防火墻工具,適合進行精細化流量控制。
- firewalld:提供動態管理功能,支持高級配置并簡化了操作流程。
- nftables:新一代防火墻框架,具備更強的性能與擴展能力。
基本配置流程
-
安裝防火墻組件(若尚未安裝):
sudo apt-get install iptables
RPM系系統(如centos、Fedora)執行:
sudo yum install iptables
-
設置防火墻規則:
使用 iptables 允許ssh訪問的示例命令:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
在 firewalld 中啟用SSH服務的方法:
sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --reload
-
保存配置:
利用 iptables-save 和 iptables-restore 來保存或恢復規則集。
若使用 firewalld,可通過如下命令將運行時配置保存為永久配置:
sudo firewall-cmd --runtime-to-permanent
安全優化策略
-
限制SSH遠程訪問權限:
修改SSH配置文件 /etc/ssh/sshd_config 內容:
PermitRootLogin no PasswordAuthentication no
配置完成后重啟SSH服務:
sudo systemctl restart sshd
-
更改SSH默認端口:
編輯SSH配置文件,將端口號調整為10000以上,降低被掃描發現的風險。
-
關閉SSH協議版本1支持:
在SSH配置中注釋掉 protocol 2,1 這一行,并僅保留:
protocol 2
-
禁止空密碼登錄:
確保SSH配置文件中包含 PermitEmptyPasswords no 并未被注釋。
-
屏蔽ICMP請求:
執行以下命令阻止服務器響應ping請求:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
-
用戶與權限管理:
實施最小權限原則,刪除無用的默認賬戶和組信息。
鎖定關鍵系統文件防止篡改:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
-
日志監控與審計:
啟用 rsyslog 服務以記錄系統日志用于后續分析:
sudo systemctl enable rsyslog sudo systemctl start rsyslog
注意事項
在正式環境應用前,務必先在測試環境中驗證所有更改是否符合預期。定期檢查并更新防火墻規則,及時應對新的潛在威脅。同時保持操作系統及防火墻工具的版本更新,確保能夠獲得最新的安全補丁和功能支持。
通過上述方法,你可以有效增強Linux防火墻的安全性,從而更好地保護你的系統免受外部攻擊。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
