如何通过CLI命令行提升服务器安全性

通过CLI（命令行界面）提升服务器安全性是一个多方面的任务，涉及系统配置、安全策略的实施以及持续的安全监控。以下是一些关键步骤和最佳实践：

1. 更新系统和软件

确保所有系统和软件都是最新的，以修补已知的安全漏洞。

sudo apt-get update && sudo apt-get upgrade -y  # 对于Debian/Ubuntu系统
sudo yum update -y  # 对于CentOS/RHEL系统

2. 配置防火墙

使用iptables或ufw（Uncomplicated Firewall）来配置防火墙规则，限制不必要的入站和出站流量。

使用iptables

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# 允许SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP和HTTPS连接
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

使用ufw

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 允许SSH连接
sudo ufw allow 22/tcp

# 允许HTTP和HTTPS连接
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

3. 禁用不必要的服务

停止并禁用不必要的服务和端口，以减少攻击面。

sudo systemctl stop <service_name>
sudo systemctl disable <service_name>

4. 配置SSH安全

修改SSH配置文件/etc/ssh/sshd_config，增强SSH安全性。

sudo nano /etc/ssh/sshd_config

# 修改以下配置
PermitRootLogin no
PasswordAuthentication no
UsePAM yes

重启SSH服务以应用更改：

sudo systemctl restart sshd

5. 使用强密码和密钥认证

确保所有用户账户使用强密码，并考虑使用SSH密钥认证。

sudo passwd <username>
sudo usermod -aG sudo <username>  # 将用户添加到sudo组

生成SSH密钥对并配置SSH客户端：

ssh-keygen -t rsa -b 4096
cat ~/.ssh/id_rsa.pub | ssh <remote_host> "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

6. 定期备份数据

定期备份重要数据，以防止数据丢失。

sudo tar -czvf /backup/backup_$(date +%F).tar.gz /path/to/important/data

7. 监控和日志记录

配置系统日志记录和监控工具，如rsyslog和fail2ban，以检测和响应潜在的安全威胁。

配置rsyslog

sudo nano /etc/rsyslog.conf
# 确保以下行未被注释
*.info;mail.none;authpriv.none;cron.none                /var/log/syslog

安装和配置fail2ban

sudo apt-get install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
# 修改以下配置
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 600

启动fail2ban服务：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

8. 使用SELinux或AppArmor

如果系统支持，启用SELinux或AppArmor来增强安全策略。

启用SELinux

sudo setenforce 1
sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config

启用AppArmor

sudo aa-enforce /etc/apparmor.d/usr.sbin.httpd

通过这些步骤，你可以显著提升服务器的安全性。记住，安全性是一个持续的过程，需要定期审查和更新安全措施。