Linux防火墙如何配置才能更安全

Linux 防火墙的配置对于确保系统安全至关重要。以下是一些关键步骤和建议，帮助你提升 Linux 防火墙的安全性。

选择合适的防火墙工具

• iptables：Linux 内核自带的强大命令行工具，适用于细粒度流量控制。
• firewalld：动态管理防火墙的工具，提供高级功能和简化命令接口。
• nftables：iptables 的后继者，性能和可扩展性更优。

基础配置步骤

1. 安装防火墙工具（如未安装）：

   sudo apt-get install iptables # Debian/Ubuntu
   sudo yum install iptables # CentOS/RHEL
   

2. 配置防火墙规则：

   • 使用 iptables 设置允许 SSH 连接的规则：

     sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     

   • 使用 firewalld 允许 SSH 服务：

     sudo firewall-cmd --permanent --add-service=ssh
     sudo firewall-cmd --reload
     

   • 使用 nftables 添加简单的过滤表和链：

     sudo nft add table inet filters
     sudo nft add chain inet filter input { type filter hook input }
     

3. 持久化配置：

   • 使用 iptables-save 和 iptables-restore 保存和恢复规则。
   • 使用 firewall-cmd --runtime-to-permanent 将运行时配置转换为永久配置。

安全加固建议

1. 限制 SSH 远程登录：

   • 修改 SSH 配置文件 /etc/ssh/sshd_config：

     PermitRootLogin no
     PasswordAuthentication no
     

   • 重启 SSH 服务：

     sudo systemctl restart sshd
     

2. 修改 SSH 默认端口：

   • 编辑 SSH 配置文件，修改端口为一个较高的值（如 10000 以上），以减少被恶意扫描到的概率。

3. 禁用 SSH 协议版本 1：

   • 编辑 SSH 配置文件，注释掉或删除 protocol 2,1 这一行：

     protocol 2
     

4. 禁止空密码登录：

   • 确保 SSH 配置文件中 PermitEmptyPasswords no 这一行未被注释。

5. 禁止 ping 请求：

   • 通过以下命令禁止服务器响应 ping 请求：

     echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
     

6. 用户和用户组安全管理：

   • 遵循最小权限原则，删除不必要的默认用户和用户组。

   • 设置文件权限，防止信息泄露：

     chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
     

7. 日志审计：

   • 确保 rsyslog 服务已启用，记录日志用于审计：

     sudo systemctl enable rsyslog
     sudo systemctl start rsyslog
     

注意事项

• 在进行任何配置更改后，建议先在测试环境中验证其效果。
• 定期审查和更新防火墙规则，以应对新的安全威胁。
• 保持系统和防火墙工具的更新，以利用最新的安全修复和功能增强。

通过上述步骤和建议，你可以显著提升 Linux 防火墙的安全性，保护你的系统免受网络威胁。