服務器linux怎樣加強訪問控制

在Linux服務器上加強訪問控制可以通過多種方法來實現，包括使用強密碼策略、配置防火墻規則、啟用SELinux或AppArmor、限制用戶權限以及定期審計系統配置等。以下是一些具體的步驟和建議：

1. 使用強密碼策略

• 設置復雜密碼：要求用戶使用至少8個字符的密碼，包含大小寫字母、數字和特殊字符。
• 定期更換密碼：可以設置密碼過期時間，強制用戶定期更換密碼。
• 使用密碼管理工具：如passwd命令結合腳本，或者使用pass等密碼管理工具。

2. 配置防火墻規則

• 使用iptables：

  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  sudo iptables -A INPUT -j DROP
  

• 使用ufw（Uncomplicated Firewall）：

  sudo ufw allow 22/tcp
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw deny from any to any
  

3. 啟用SELinux或AppArmor

• SELinux：

  sudo yum install policycoreutils-python-utils
  sudo setenforce 1
  

• AppArmor：

  sudo apt-get install apparmor apparmor-utils
  sudo aa-enable /etc/apparmor.d/usr.sbin.sshd
  

4. 限制用戶權限

• 最小權限原則：只授予用戶完成任務所需的最小權限。
• 使用sudo：配置sudoers文件，限制用戶可以執行的命令。

  sudo visudo
  # 添加如下行
  username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd
  

5. 定期審計系統配置

• 使用auditd：安裝并配置auditd服務，監控系統文件和目錄的訪問。

  sudo yum install audit
  sudo systemctl start auditd
  sudo systemctl enable auditd
  

• 定期檢查日志文件：如/var/log/secure、/var/log/auth.log等，及時發現異常行為。

6. 使用SSH密鑰認證

• 禁用密碼登錄：

  sudo sed -i 's/.*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
  sudo sed -i 's/.*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
  

• 配置SSH密鑰認證：要求用戶使用SSH密鑰對登錄。

7. 更新系統和軟件包

• 定期更新：保持系統和軟件包的最新狀態，修復已知的安全漏洞。

  sudo yum update
  

通過以上步驟，可以有效地加強Linux服務器的訪問控制，提高系統的安全性。