配置Linux防火墙以确保系统安全是一个重要的步骤。以下是一些关键步骤和建议,帮助你提升Linux防火墙的安全性:
安装防火墙工具(如未安装):
对于基于Debian的系统(如Ubuntu):
sudo apt-get install iptables
对于基于RPM的系统(如CentOS、Fedora):
sudo yum install iptables
配置防火墙规则:
使用 iptables 设置允许SSH连接的规则:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
使用 firewalld 允许SSH服务:
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
持久化配置:
使用 iptables-save 和 iptables-restore 保存和恢复规则。
使用 firewall-cmd --runtime-to-permanent 将运行时配置转换为永久配置。
限制SSH远程登录:
修改SSH配置文件 /etc/ssh/sshd_config:
PermitRootLogin no
PasswordAuthentication no
重启SSH服务:
sudo systemctl restart sshd
修改SSH默认端口:
编辑SSH配置文件,修改端口为一个较高的值(如10000以上),以减少被恶意扫描到的概率。
禁用SSH协议版本1:
编辑SSH配置文件,注释掉或删除 protocol 2,1 这一行:
protocol 2
禁止空密码登录:
确保SSH配置文件中 PermitEmptyPasswords no 这一行未被注释。
禁止ping请求:
通过以下命令禁止服务器响应ping请求:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
用户和用户组安全管理:
遵循最小权限原则,删除不必要的默认用户和用户组。
设置文件权限,防止信息泄露:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
日志审计:
确保 rsyslog 服务已启用,记录日志用于审计:
sudo systemctl enable rsyslog
sudo systemctl start rsyslog
在进行任何配置更改后,建议先在测试环境中验证其效果。定期审查和更新防火墙规则,以应对新的安全威胁。保持系统和防火墙工具的更新,以利用最新的安全修复和功能增强。
通过上述步骤和建议,你可以显著提升Linux防火墙的安全性,保护你的系统免受网络威胁。