防火墙基础配置
Linux系统推荐使用UFW或firewalld工具进行防火墙管理。UFW适用于Ubuntu系统,执行以下命令完成基本配置:
- 启用防火墙:
sudo ufw enable - 开放SSH端口:
sudo ufw allow 22/tcp - 查看规则:
sudo ufw status verbose
CentOS系统建议使用firewalld,通过firewall-cmd --permanent --add-service=ssh命令实现服务级访问控制。
SSH安全优化策略
通过修改SSH配置文件(/etc/ssh/sshd_config)提升安全性:
- 修改默认端口:将
Port 22改为非标准端口(如8022) - 禁用root登录:设置
PermitRootLogin no - 启用密钥认证:配置
PasswordAuthentication no强制使用密钥登录
密钥生成命令:ssh-keygen -t rsa -b 4096,需将公钥上传至服务器~/.ssh/authorized_keys文件。
端口开放实战操作
使用iptables开放Web服务端口的完整流程:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables-save | sudo tee /etc/iptables/rules.v4
sudo systemctl restart iptables
firewalld用户可通过firewall-cmd --add-port=443/tcp --permanent开放HTTPS端口。
高级安全防护措施
推荐组合使用以下防护方案:
- 安装fail2ban防御暴力破解
- 配置用户白名单:
AllowGroups ssh_users限制访问权限 - 定期审查日志:
journalctl -u sshd监控异常登录
通过防火墙规则精细化管理和SSH服务的深度优化,可构建多层防御体系。建议每月检查安全配置,及时更新系统补丁,结合云服务商的安全组功能实现立体防护。
