使用开源工具保护您的Linux环境免受入侵。如今,我们的大部分个人和专业数据都可以在线获取,因此无论您是专业人士还是普通互联网用户,了解安全和隐私的基础知识都非常重要。作为一名学生,我通过学校的Cyber??Patriot活动获得了这方面的经验,在那里我有机会与行业专家建立联系,了解网络漏洞和构建系统安全的基本步骤。基于我目前作为初学者所学到的知识,本文详细介绍了六个简单的步骤来提高您的个人Linux环境的安全性。在我的整个旅程中,我利用开源工具来加速我的学习过程并熟悉与提高Linux服务器安全性相关的更高级别的概念。我使用我最熟悉的Ubuntu18.04版本测试了这些步骤,但这些步骤应该也适用于其他Linux发行版。1.运行更新开发人员一直在寻找通过修补已知漏洞使服务器更加稳定、快速和安全的方法。定期运行更新是最大限度提高安全性的好习惯。运行它们:sudoapt-getupdate&&apt-getupgrade2.启用防火墙保护启用防火墙可以更轻松地控制服务器上的入站和出站流量。有许多适用于Linux的防火墙应用程序,包括firewall-cmd和简单的防火墙UncomplicatedFirewall(UFW)。我使用UFW,因此我的示例是针对它的,但这些原则适用于您选择的任何防火墙。安装UFW:sudoapt-getinstallufw如果你想进一步保护你的服务器,你可以拒绝传入和传出连接。请注意,这将切断您的服务器与世界的联系,因此一旦您阻止了所有流量,您必须指定系统允许哪些出站连接:sudoufwdefaultdenyincomingsudoufwdefaultallowoutgoingyou您还可以编写规则以允许供您个人使用的传入连接:ufwallow例如,允许SSH连接:ufwallowssh最后,启用您的防火墙:sudoufwenable3.实施密码保护实施强密码策略是保持服务器安全的一个重要方面保护和防止网络攻击和数据泄露。密码策略的一些最佳实践包括强制执行最小长度和指定密码使用期限。我使用libpam-cracklib包来完成这些任务。安装libpam-cracklib包:sudoapt-getinstalllibpam-cracklib强制密码长度:打开/etc/pam.d/common-password文件。将minlen=12行更改为您需要的任意字符数,以更改所有密码的最小字符长度要求。为防止密码重复使用:在同一文件(/etc/pam.d/common-password)中,添加remember=x行。例如,如果您想要防止用户重复使用他们最后5个密码中的一个,请使用remember=5。强制密码使用期限:在/etc/login.defs文件中找到以下行并将它们替换为您的首选时间(天数)。例如:PASS_MIN_AGE:3PASS_MAX_AGE:90PASS_WARN_AGE:14强制字符规范:强制密码字符规范的四个参数是lcredit(小写)、ucredit(大写)、dcredit(数字)和ocredit(其他字符)。在同一文件(/etc/pam.d/common-password)中,找到包含pam_cracklib.so的行。在行尾添加以下内容:lcredit=-aucredit=-bdcredit=-cocredit=-d。例如,以下行要求密码必须至少包含每个字符之一。您可以根据首选的密码安全级别更改号码。lcredit=-1ucredit=-1dcredit=-1ocredit=-1。4.禁用容易被利用的非必要服务。禁用不必要的服务是最佳做法。这减少了可以被利用的开放端口的数量。安装systemd软件包:sudoapt-getinstallsystemd查看正在运行的服务:systemctllist-units识别可能导致系统潜在漏洞的服务。对于每项服务,您可以:停止当前正在运行的服务:systemctlstop。禁止服务在系统启动时启动:systemctldisable。运行这些命令后,检查服务的状态:systemctlstatus。5.检查监听端口开放的端口可能带来安全隐患,所以检查服务器上的监听端口很重要。我使用netstat命令显示所有网络连接:netstat-tulpn查看“地址”列以确定端口号。找到打开的端口后,检查它们是否都是必需的。如果不是,请调整您正在运行的服务,或调整您的防火墙设置。6.扫描恶意软件防病毒扫描软件可用于防止病毒进入您的系统。使用它们是保护您的服务器免受恶意软件侵害的简单方法。我首选的工具是开源软件ClamAV。安装ClamAV:sudoapt-getinstallclamav更新病毒特征:sudofreshclam扫描所有文件,并打印出被感染的文件,找到一个并响铃:sudoclamscan-r--bell-i/你可以而且应该设置为自动扫描因此您不必记住或花时间手动扫描。对于这种简单的自动化,您可以使用systemd计时器或您最喜欢的cron来完成。保护您的服务器安全我们不能将保护您的服务器的责任委托给一个人或一个组织。随着威胁形势继续迅速扩大,我们每个人都应该意识到服务器安全的重要性,并采取一些简单有效的安全最佳实践。这些只是您可以用来提高Linux服务器安全性的众多步骤中的一部分。当然,预防只是解决方案的一部分。这些策略应该与对拒绝服务攻击的严格监控、使用Lynis的系统分析以及创建频繁的备份相结合。
