保护Linux服务器的命令行工具指南

作为IT工程师，命令行工具是我们保护Linux服务器的强大武器。以下是一套全面的防御策略和工具集：

1. 系统监控与审计

核心工具：

# 实时监控系统资源
top
htop
glances

# 检查登录历史
last
lastb

# 审计日志分析
journalctl -u sshd --since "1 hour ago"
grep "Failed password" /var/log/auth.log

# 文件完整性检查
aide --check
tripwire --check

2. 网络安全防护

防火墙管理：

# UFW (简单防火墙)
sudo ufw enable
sudo ufw allow 22/tcp
sudo ufw status verbose

# iptables/nftables (高级规则)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo nft list ruleset

网络连接监控：

# 查看活跃连接
ss -tulnp
netstat -tulnp

# 检测异常连接
iftop
nethogs

3. 恶意软件检测与防护

扫描工具：

# Rootkit检测
chkrootkit
rkhunter --check

# 恶意软件扫描
clamscan -r /home
lynis audit system

4. 用户与权限管理

安全加固：

# 检查空密码账户
sudo awk -F: '($2 == "") {print}' /etc/shadow

# 检查sudo权限
sudo grep -r "NOPASSWD" /etc/sudoers*

# 密码策略
sudo chage -l username
sudo pam_tally2 --user=username

5. 自动化安全任务

定时扫描：

# 添加每日安全扫描到cron
(crontab -l 2>/dev/null; echo "0 3 * * * /usr/bin/rkhunter --cronjob --report-warnings-only") | crontab -

6. 应急响应工具

取证分析：

# 内存分析
volatility -f memory.dump linux_pslist

# 文件时间线分析
mactime -b bodyfile.csv

7. 加密与安全传输

数据保护：

# 加密目录
sudo ecryptfs-migrate-home -u username

# 安全传输
scp -C file user@remote:/path/
rsync -avz -e "ssh -p 2222" /local/path user@remote:/remote/path

最佳实践建议

1. 最小权限原则：始终使用最低必要权限
2. 定期更新：sudo apt update && sudo apt upgrade (Debian/Ubuntu)
3. 备份验证：定期测试备份恢复流程
4. 日志集中：配置远程日志服务器
5. SSH加固： bash sudo sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config sudo systemctl restart sshd

记住，安全是一个持续的过程，而不是一次性任务。将这些工具和命令整合到你的日常运维流程中，可以显著提高服务器的安全性。