Linux服务器安全加固：6个技巧防御网络攻击与入侵

# 1. Linux服务器安全加固概述

随着网络攻击手段的日益复杂化，Linux服务器面临的安全威胁不断增加。安全加固是确保服务器稳定运行和保护数据安全的重要手段。本章节将概述Linux服务器安全加固的概念、目的及重要性，为接下来深入探讨具体加固措施打下基础。

首先，我们将解释Linux服务器安全加固的定义，即通过一系列策略和技术手段提升Linux服务器抵抗外部攻击、降低内部威胁的能力，确保系统运行的稳定性和数据的安全性。接着，我们会探讨加固的必要性，包括遵守安全法规、防止数据泄露以及维护企业声誉等角度。最后，我们会简要介绍Linux服务器安全加固的基本流程和最佳实践，为读者建立一个全面的加固认识框架。

# 2. 基础安全设置

### 2.1 用户和权限管理

#### 2.1.1 用户账户的创建与管理

用户账户的创建与管理是Linux系统安全的基础。默认情况下，Linux系统提供了root用户（也称为超级用户），其拥有系统上所有文件和命令的无限制访问权限。为了安全起见，应该创建普通用户账户，并在需要时临时提升权限。

创建一个新用户的命令是 `useradd`，我们可以指定用户名，创建家目录，指定默认的shell等。

sudo useradd -m -s /bin/bash username

其中 `-m` 表示创建用户的家目录，`-s` 指定用户登录后使用的shell。

修改用户账户的命令是 `usermod`，比如修改用户的登录shell：

sudo usermod -s /bin/zsh username

管理用户密码是一项重要任务，可以使用 `passwd` 命令为用户设置或修改密码：

sudo passwd username

删除用户时使用 `userdel`：

sudo userdel username

用户账户的权限分为两种：登录权限和组权限。登录权限控制用户能够通过哪种方式登录系统，如TTY, SSH, Sudo等；组权限则用于控制用户可以访问的资源。通常情况下，为了更好的权限控制，应该将用户添加到不同的用户组中：

sudo usermod -a -G groupname username

查看用户所属组，可以使用 `groups` 命令。

用户和权限的管理是确保系统安全的第一步，合适的用户管理和细致的权限控制可以有效减少系统安全风险。

#### 2.1.2 权限控制的最佳实践

为了确保系统的安全性，需要实施严格的权限控制。Linux中的权限控制包括文件权限和目录权限的管理，它们是通过读（r）、写（w）和执行（x）权限来定义的。文件和目录的权限可以通过 `chmod` 命令来修改。

例如，修改文件的权限，使得所有用户都能读取和执行，但只有文件所有者能写入：

chmod 755 filename

使用 `chown` 命令可以改变文件的所有者：

sudo chown username filename

还可以改变文件或目录的所属组：

sudo chgrp groupname filename

最佳实践还包括使用最小权限原则，即只授予用户完成其工作所必需的权限。另外，确保定期审计用户权限和执行权限检查：

sudo find / -type f -perm 777

上述命令查找了系统中所有权限为777（任何人可读写执行）的文件，应定期检查此类文件的存在并进行适当调整。

### 2.2 系统更新和补丁管理

#### 2.2.1 自动化更新策略

系统更新和补丁管理是保持系统安全的关键步骤。为了避免手动更新的繁琐和遗漏，建议使用自动化策略来执行这一任务。在Linux系统中，可以使用包管理器如 `apt`（在Debian及其衍生版本中）或 `yum`（在Red Hat及其衍生版本中）来自动化更新过程。

对于基于Debian的系统，可以通过编辑 `/etc/apt/apt.conf.d/20auto-upgrades` 文件来启用自动更新：

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

然后在文件中添加以下行：

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

这意味着系统会每天检查并自动安装更新。

在基于Red Hat的系统中，可以使用 `yum-cron` 包来实现相似的功能：

sudo yum install yum-cron
sudo systemctl enable yum-cron
sudo systemctl start yum-cron

自动化更新策略使系统管理员能够集中精力处理更关键的安全任务，同时确保系统时刻保持最新和最安全的状态。

#### 2.2.2 评估和应用补丁的流程

评估和应用补丁的过程应该遵循特定的流程来确保系统的稳定性和安全性。首先要从官方源获取补丁信息和版本更新日志，然后对补丁进行评估，检查是否解决了已知的安全问题，以及是否有可能引入新的问题。

补丁应用前的评估流程包括：

1. 从官方仓库获取补丁信息。
2. 阅读补丁描述和升级日志，了解补丁的作用和需要关注的变更点。
3. 在测试环境中评估补丁的影响，确保补丁不会对现有的应用和服务造成负面影响。
4. 在确认补丁不会引起问题之后，备份重要的系统文件和服务配置。
5. 应用补丁并验证其功能。

应用补丁的命令取决于所用的包管理器。对于 `apt`：

sudo apt update
sudo apt upgrade

对于 `yum`：

sudo yum update

在应用补丁后，需要对系统进行测试，确保关键的服务和应用依旧正常工作。最后，记录补丁应用的详情，便于后续跟踪和审计。

### 2.3 防火墙配置和管理

#### 2.3.1 防火墙规则的基础

Linux系统通常使用 `iptables` 作为防火墙，它使用一系列规则来决定网络流量。规则被组织成链（chains），而链是与特定类型的流量相关的操作集合。`iptables` 的操作包括接受（accept）、丢弃（drop）、拒绝（reject）等。

为了使用 `iptables`，需要具有管理员权限：

sudo iptables -L

该命令列出了所有的防火墙规则。

创建一个新的规则来允许特定端口的流量可以通过以下命令：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

该命令将一条规则添加到 `INPUT` 链，允许TCP流量通过端口22。

通常，建议先清除所有现有的规则，然后从零开始配置：

sudo iptables -F

另外，使用 `iptables-save` 和 `iptables-restore` 可以将规则持久化到磁盘，以防重启后规则丢失。

#### 2.3.2 高级防火墙配置案例

在配置高级防火墙时，可以结合使用 `iptables` 的不同链和表格来实现复杂的网络策略。

例如，限制访问特定服务的连接数：

sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j DROP

该规则会丢弃超过100个并发连接到HTTP服务（端口80）的流量。

使用 `iptables` 的 `recent` 模块来防止扫描和攻击：

sudo iptables -A INPUT -p tcp --dport 22 -m recent --set
sudo iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 -j DROP

第一行规则标记所有尝试连接到SSH服务的IP地址，第二行规则拒绝在60秒内尝试连接超过3次的IP地址。

使用 `LOG` 目标记录特定的流量：

sudo iptables -A INPUT -p tcp --dport 25 -m limit --limit 5/min -j LOG --log-prefix "iptables: incoming SMTP blocked: "