《Linux 简易速速上手小册》第8章: 安全性与加固（2024 最新版）

8.1 防火墙与安全策略

在 Linux 的安全领域，防火墙是你的第一道防线，保护系统不受未授权访问的侵害。想象你的系统是一座宝藏满满的城堡，防火墙就是围绕城堡的高墙和护城河，阻挡那些试图盗取宝藏的海盗。

8.1.1 重点基础知识

• iptables: Linux 的传统防火墙工具，使用链和规则来控制进出网络数据包。它就像城堡的守卫，根据规则允许或拒绝访问。
• firewalld: 一个动态防火墙管理工具，使用 zones 和 services 的概念来简化管理。它提供了更灵活的配置和更易于理解的界面，就像是城堡有不同的防御区域，每个区域都有特定的守卫任务。
• ufw (Uncomplicated Firewall): 为那些希望通过简单命令管理防火墙的用户设计。ufw 通过简化 iptables 的配置过程，使得管理防火墙规则变得更加直观。

8.1.2 重点案例：配置 iptables 以保护 Web 服务器

假设你正在运行一个 Web 服务器，需要配置 iptables 防火墙以保护它免受未授权访问，同时确保外界可以访问 HTTP 和 HTTPS 服务。

1. 允许 HTTP 和 HTTPS 流量:

   sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
   

2. 拒绝默认入站流量:

   sudo iptables -P INPUT DROP
   

   这条规则意味着如果没有明确允许的规则，则拒绝所有入站流量。

3. 允许所有出站流量:

   sudo iptables -P OUTPUT ACCEPT
   

   这确保了服务器可以自由地连接到外界。

4. 允许来自已建立连接的数据包:

   sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   

   这条规则允许那些作为响应服务器请求的流量。

8.1.3 拓展案例 1：使用 firewalld 配置动态防御区域

如果你的系统使用 firewalld，你可以为 Web 服务器配置一个专门的防御区域，更细致地管理规则。

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

8.1.4 拓展案例 2：配置 ufw 以简化管理

对于更倾向于简单性的用户，使用 ufw 来配置基本的 Web 服务器防护措施是一个不错的选择。

sudo ufw allow http
sudo ufw allow https
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable

通过这些案例，我们可以看到，无论是使用传统的 iptables，还是更现代的 firewalld 或 ufw，Linux 提供了多种工具来帮助你构建和管理防火墙，保护你的系统安全。掌握这些工具的使用，就像是学会了如何构建和维护城堡的高墙和护城河，确保宝藏安全。

---

8.2 SSH 安全最佳实践

在 Linux 宝库中，SSH (Secure Shell) 是一把钥匙，它让你能远程访问并管理你的系统。但如果这把钥匙落入了海盗手中，那你的宝藏就危险了。因此，保护好你的 SSH 服务是至关重要的。让我们来看看一些 SSH 安全最佳实践，确保你的宝藏箱安全无虞。

8.2.1 重点基础知识

• 使用密钥认证代替密码：SSH 密钥提供了比传统密码更强的安全性，它几乎不可能被暴力破解。
• 禁用 root 登录：通过 SSH 以 root 用户直接登录是一个巨大的安全风险。最佳做法是使用普通用户登录，然后在必要时切换到 root。
• 更改默认的 SSH 端口：将 SSH 从默认的 22 端口更改到其他端口，可以减少自动化攻击的风险。
• 使用防火墙限制访问：只允许可信的 IP 地址连接到你的 SSH 服务。

8.2.2 重点案例：加固 SSH 配置

假设你是一名系统管理员，需要加固一台公网服务器的 SSH 服务。

1. 生成 SSH 密钥对：
   在客户端机器上生成一个 SSH 密钥对。

   ssh-keygen -t rsa -b 4096
   

2. 禁用 SSH 中的 root 登录：
   编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no。

3. 更改 SSH 默认端口：
   在同一配置文件中，更改 Port 项，例如 Port 2222。

4. 配置防火墙限制：
   仅允许来自特定 IP 的 SSH 访问。

   sudo ufw allow from 192.168.1.0/24 to any port 2222
   sudo ufw enable
   

5. 重启 SSH 服务：
   应用更改并重启 SSH 服务。

   sudo systemctl restart sshd
   

8.2.3 拓展案例：使用 Fail2Ban 保护 SSH

Fail2Ban 是一个防止暴力破解的工具，它监视登录尝试，并在多次失败后暂时或永久地封禁来源 IP。

sudo apt-get install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

• 限制 SSH 用户登录：

  如果只有少数用户需要通过 SSH 访问服务器，可以在 /etc/ssh/sshd_config 中使用 AllowUsers 指令限制这些用户。

  AllowUsers user1 user2
  

通过实施这些 SSH 安全最佳实践，你就为你的 Linux 系统搭建了一道坚固的防线，保护它免受未授权访问的威胁。记住，保持警惕，定期审查和更新你的安全策略，是维护系统安全的关键。

---

8.3 系统安全扫描与加固

在 Linux 安全的战场上，知己知彼是赢得胜利的关键。系统安全扫描和加固就是你的侦察兵和工程师，它们帮助你发现潜在的弱点，并加以强化，保证堡垒坚不可摧。

8.3.1 重点基础知识

• 系统安全扫描：使用各种工具检测系统中的安全漏洞、恶意软件和配置错误。这就像是派出侦察队，寻找可能被敌人利用的弱点。
• ClamAV：一个开源的防病毒软件，能够检测各种恶意软件和病毒。它就像是城墙上的哨兵，警惕着外来的威胁。
• Lynis：一个安全审计工具，用于对系统进行全面的安全扫描，并提出加固建议。它就像是你的军事顾问，为你提供防御策略。

8.3.2 重点案例：使用 Lynis 执行系统安全审计

假设你是一名系统管理员，需要对一台公网服务器进行安全审计，以识别潜在的安全问题并加以解决。

1. 安装 Lynis：
   在大多数 Linux 发行版中，Lynis 都可以通过包管理器安装。

   sudo apt-get install lynis   # Debian/Ubuntu
   sudo yum install lynis       # CentOS/RHEL
   sudo dnf install lynis       # Fedora
   

2. 运行安全扫描：
   使用 Lynis 对系统进行全面的安全扫描。

   sudo lynis audit system
   

   扫描完成后，Lynis 会提供一份详细的报告，包括发现的警告、建议和需要人工检查的项目。

3. 根据建议加固系统：
   遵循 Lynis 报告中的建议，对系统进行加固。这可能包括更新软件包、更改配置设置、限制用户权限等。

8.3.3 拓展案例 1：定期使用 ClamAV 扫描恶意软件

配置定期任务，使用 ClamAV 对系统进行恶意软件扫描，及时发现并处理安全威胁。

clamscan -r /home   # 扫描 /home 目录

8.3.4 拓展案例 2：使用防火墙和 Fail2Ban 增强网络安全

除了系统安全扫描和加固外，使用防火墙和 Fail2Ban 可以进一步增强系统的网络安全。

• 配置防火墙规则，限制不必要的入站和出站连接。
• 使用 Fail2Ban 监控登录尝试，自动封禁频繁失败的 IP 地址。

通过这些策略和工具，你可以有效地增强 Linux 系统的安全性，防止潜在的攻击和威胁。记住，系统安全是一个持续的过程，定期的审计和更新是保持系统安全不可或缺的一部分。