¼Ó¹ÌLinuxЧÀÍÆ÷£ºÊ¹ÓÃÏÂÁîÐй¤¾ßÌá¸ßÇå¾²ÐÔ
¼Ó¹ÌLinuxЧÀÍÆ÷£ºÊ¹ÓÃÏÂÁîÐй¤¾ßÌá¸ßÇå¾²ÐÔ
¸ÅÊö£º
Ëæ×Å»¥ÁªÍøµÄÉú³¤£¬LinuxЧÀÍÆ÷Õý±äµÃÔ½À´Ô½ÊܽӴý¡£È»¶ø£¬Ëæ×ÅЧÀÍÆ÷ÊýÄ¿µÄÒ»Ö±ÔöÌí£¬Ð§ÀÍÆ÷Çå¾²ÐÔÎÊÌâÒ²ÈÕÒæÍ»³ö¡£ÎªÁËÈ·±£Ð§ÀÍÆ÷µÄÇå¾²ÐÔ£¬ÖÎÀíÔ±ÐèÒª½ÓÄÉһЩ²½·¥À´¼Ó¹ÌЧÀÍÆ÷¡£ÔÚ±¾ÎÄÖУ¬ÎÒÃǽ«ÖصãÏÈÈÝһЩÏÂÁîÐй¤¾ß£¬ÕâЩ¹¤¾ßÄÜ×ÊÖúÖÎÀíÔ±Ìá¸ßЧÀÍÆ÷µÄÇå¾²ÐÔ¡£
ÃÜÂëÕ½ÂÔÖÎÀí
ÔÚLinuxЧÀÍÆ÷ÉÏ£¬ÃÜÂëÕ½ÂÔÊǺÜÊÇÖ÷ÒªµÄ¡£Í¨¹ýÉèÖúÏÊʵÄÃÜÂëÕ½ÂÔ£¬¿ÉÒÔ½µµÍÃÜÂë±»ÍƲ⡢ÆƽâµÄΣº¦¡£ÒÔÏÂÊÇһЩÏÂÁîÐй¤¾ß£¬¿ÉÒÔÓÃÀ´ÖÎÀíÃÜÂëÕ½ÂÔ£º
passwd£ºÓÃÓÚ¸ü¸ÄÓû§ÃÜÂ룬¿ÉÒÔÇ¿ÖÆÉèÖÃÖØ´óµÄÃÜÂë¡£
chage£ºÓÃÓÚÉèÖÃÃÜÂëÓâÆÚʱ¼äºÍÕË»§Ëø¶¨Ñ¡Ïî¡£
pam_pwquality£ºÓÃÓÚÉèÖÃÃÜÂëÖÊÁ¿ÒªÇó£¬È糤¶È¡¢ÖØ´óÐԵȡ£
ʾÀý´úÂ룺
# ÉèÖÃÃÜÂëÓâÆÚʱ¼äΪ30Ìì chage -M 30 username # ÉèÖÃÃÜÂë±ØÐè°üÀ¨Êý×ÖºÍÌØÊâ×Ö·û£¬²¢ÇÒ³¤¶È²»ÉÙÓÚ6¸ö×Ö·û pam_pwquality --retry=3 --minlen=6 --minclass=2 --enforce-for-root
µÇ¼ºó¸´ÖÆ
·À»ðǽÉèÖÃ
·À»ðǽÊDZ£»¤Ð§ÀÍÆ÷ÃâÊÜδÊÚȨ»á¼ûµÄÖ÷Òª×é¼þÖ®Ò»¡£ÒÔÏÂÊÇһЩ³£ÓõÄÏÂÁîÐй¤¾ß£¬¿ÉÒÔÓÃÀ´ÉèÖ÷À»ðǽ£º
iptables£ºLinuxÉÏ×î³£ÓõķÀ»ðǽ¹¤¾ß£¬¿ÉÒÔͨ¹ýÉèÖùæÔòÀ´¿ØÖÆÊý¾Ý°üµÄÊÕÖ§¡£
ufw£ºUbuntu LinuxÉϵķÀ»ðǽÉèÖù¤¾ß£¬¿ÉÒÔ¼ò»¯iptablesµÄÉèÖá£
firewalld£ºCentOSºÍFedoraÉϵķÀ»ðǽÉèÖù¤¾ß£¬ÌṩÁ˸ü¸ß¼¶µÄÉèÖÃÑ¡Ïî¡£
ʾÀý´úÂ룺
# ÉèÖÃiptables£¬Ö»ÔÊÐíSSHºÍHTTPÁ÷Á¿Í¨¹ý iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -j DROP # ʹÓÃufwÉèÖ÷À»ðǽ ufw allow ssh ufw allow http ufw default deny ufw --force enable # ʹÓÃfirewalldÉèÖ÷À»ðǽ firewall-cmd --zone=public --add-service=ssh --permanent firewall-cmd --zone=public --add-service=http --permanent firewall-cmd --reload
µÇ¼ºó¸´ÖÆ
SSHÉèÖÃ
SSHÊÇÖÎÀíÔ±Ô¶³ÌÖÎÀíLinuxЧÀÍÆ÷µÄÊ×Ñ¡·½·¨£¬Òò´Ë±£»¤SSHµÄÇå¾²ºÜÊÇÖ÷Òª¡£ÒÔÏÂÊÇһЩÏÂÁîÐй¤¾ß£¬¿ÉÒÔÓÃÀ´¼Ó¹ÌSSH£º
sshd_config£ºSSHЧÀÍÆ÷µÄÉèÖÃÎļþ£¬¿ÉÒÔͨ¹ý±à¼¸ÃÎļþÀ´ÏÞÖƵǼ·½·¨¡¢½ûÓÿÕÃÜÂëµÇ¼µÈ¡£
ssh-keygen£ºÓÃÓÚÌìÉúÃÜÔ¿¶Ô£¬ÒÔÌṩ¸üÇå¾²µÄSSHÅþÁ¬¡£
fail2ban£ºÓÃÓÚ±ÜÃâSSH±©Á¦Æƽ⣬¿ÉÒÔƾ֤µÇ¼ʧ°ÜµÄ´ÎÊý×Ô¶¯½ûÓÃIPµØµã¡£
ʾÀý´úÂ룺
# ½ûÓÿÕÃÜÂëµÇ¼ sed -i 's/#PermitEmptyPasswords yes/PermitEmptyPasswords no/' /etc/ssh/sshd_config # ÏÞÖƵÇÈÎÃü»§ºÍÓû§×é sed -i 's/#AllowUsers/AllowUsers/' /etc/ssh/sshd_config sed -i 's/#AllowGroups/AllowGroups/' /etc/ssh/sshd_config # ÌìÉúSSHÃÜÔ¿¶Ô ssh-keygen -t rsa -b 4096 # ×°ÖÃfail2ban apt-get install fail2ban -y systemctl enable fail2ban
µÇ¼ºó¸´ÖÆ
½áÂÛ£º
ͨ¹ýʹÓÃÕâЩÏÂÁîÐй¤¾ß£¬ÖÎÀíÔ±¿ÉÒÔ¼Ó¹ÌLinuxЧÀÍÆ÷£¬Ìá¸ßЧÀÍÆ÷µÄÇå¾²ÐÔ¡£²»¹ý£¬ÕâЩ¹¤¾ßÖ»ÊǼӹÌЧÀÍÆ÷µÄÒ»²¿·Ö£¬»¹ÐèҪעÖØÆäËûÇå¾²²½·¥£¬Èçʵʱ¸üÐÂϵͳ²¹¶¡¡¢¼à¿ØÈÕÖ¾µÈ¡£Ö»ÓнÓÄÉ×ۺϵÄÇå¾²²½·¥£¬²Å»ª±£»¤Ð§ÀÍÆ÷ÃâÊÜÖÖÖÖÍþв¡£
ÔÚÖÎÀíLinuxЧÀÍÆ÷ʱ£¬ÇëʼÖÕ¼á³ÖСÐÄ£¬²¢ÊµÊ±Ó¦¶ÔÇå¾²ÎÊÌ⣬ÒÔÈ·±£Ð§ÀÍÆ÷µÄÇå¾²ÐÔ¡£
ÒÔÉϾÍÊǼӹÌLinuxЧÀÍÆ÷£ºÊ¹ÓÃÏÂÁîÐй¤¾ßÌá¸ßÇå¾²ÐÔµÄÏêϸÄÚÈÝ£¬¸ü¶àÇë¹Ø×¢±¾ÍøÄÚÆäËüÏà¹ØÎÄÕ£¡