随着互联网的不断发展,信息的安全问题也日益严峻。作为运维人员,保证服务器的安全性是一项必不可少的工作。今天我们来谈一谈,如何进行Linux基础安全配置。 一、 配置SSH安全 SSH是Linux系统中常用的远程管理工具,可以保证远程管理时数据的安全性。SSH的默认端口为22,但是这一端口容易被黑客攻击,因此我们需要进行相应的安全设置。 1. 修改SSH默认端口号 修改SSH默认端口可以增加黑客入侵的难度。可以将SSH端口号改为1025-65535之间的任意数字。 修改方法:编辑SSH配置文件/etc/ssh/sshd_config,在文件中找到“Port 22”,将其改为其他端口即可。 2. 禁用SSH的root用户登录 禁用SSH的root用户登录可以防止黑客通过暴力破解root密码来攻击服务器。在Linux系统中,root用户具有最高权限,如果黑客得到root用户的权限,则可以为所欲为。 修改方法:编辑SSH配置文件/etc/ssh/sshd_config,在文件中找到“PermitRootLogin yes”,将其改为“PermitRootLogin no”。 3. 限制SSH连接IP范围 限制SSH连接IP范围可以防止未授权的IP地址进行SSH连接,同时可以提高SSH的安全性。 修改方法:编辑SSH配置文件/etc/hosts.deny,在文件中添加如下内容: sshd:ALL 编辑SSH配置文件/etc/hosts.allow,在文件中添加如下内容: sshd: 192.168.1.0/255.255.255.0 以上配置限制了只有IP地址为192.168.1.0/255.255.255.0的主机才能进行SSH连接。 二、 配置防火墙 防火墙是Linux系统中重要的安全组件,可以限制对服务器的非法访问和攻击。在Linux系统中,常用的防火墙有iptables和firewalld。下面我们来介绍一下iptables的安装和配置。 1. 安装iptables 在命令行中输入以下命令即可安装iptables: sudo apt-get install iptables 2. 配置iptables iptables的默认配置是允许所有流量通过,因此我们需要对iptables进行相应的安全配置。以下是一些常用的iptables命令: 允许某个IP的SSH连接: iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT 禁止所有IP的SSH连接: iptables -A INPUT -p tcp --dport 22 -j DROP 允许某个IP的HTTP连接: iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j ACCEPT 禁止所有IP的HTTP连接: iptables -A INPUT -p tcp --dport 80 -j DROP 三、 配置SELinux SELinux是一种强制访问控制(MAC)机制,可以限制进程、用户和文件的访问权限。在Linux系统中,SELinux默认是开启的。 1. 修改SELinux的运行级别 SELinux有三种运行级别:enforcing、permissive和disabled。 enforcing:启用SELinux,并且严格执行访问控制规则。 permissive:启用SELinux,但是仅仅是记录日志,并不严格执行访问控制规则。 disabled:禁用SELinux。 修改方法: 查看当前SELinux运行级别: getenforce 修改SELinux运行级别: setenforce 0(permissive) setenforce 1(enforcing) 2. 配置SELinux的策略文件 SELinux的策略文件包含了访问控制规则。可以在策略文件中添加或者删除规则。 修改方法:编辑SELinux策略文件/etc/selinux/config,在文件中找到“SELINUX=enforcing”,将其改为“SELINUX=permissive”或者“SELINUX=disabled”。 以上是Linux基础安全配置的一些常用方法和技巧。通过合理的配置,可以大大提高服务器的安全性。