提高服务器安全性的命令行工具指南

作为IT工程师，掌握正确的命令行工具可以显著提升服务器安全性。以下是一套全面的安全工具集和使用建议：

1. 基础安全审计工具

1.1 Lynis - 安全审计工具

# 安装
sudo apt install lynis  # Debian/Ubuntu
sudo yum install lynis  # CentOS/RHEL

# 运行系统审计
sudo lynis audit system

1.2 Chkrootkit - 检查rootkit

sudo apt install chkrootkit
sudo chkrootkit

1.3 Rkhunter - Rootkit检测

sudo apt install rkhunter
sudo rkhunter --check
sudo rkhunter --update  # 更新数据库

2. 网络安全性工具

2.1 Nmap - 网络扫描

# 扫描开放端口
nmap -sS -p 1-65535 -T4 -v your-server-ip

# 检查服务器暴露的服务
nmap -sV your-server-ip

2.2 Netstat/SS - 网络连接检查

# 查看所有网络连接
ss -tulnp
netstat -tulnp  # 旧版系统

2.3 Fail2Ban - 防暴力破解

sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# 查看状态
sudo fail2ban-client status

3. 文件完整性检查

3.1 AIDE - 高级入侵检测环境

sudo apt install aide
sudo aideinit
sudo aide --check

3.2 Tripwire - 文件完整性监控

sudo apt install tripwire
sudo tripwire --init
sudo tripwire --check

4. 用户和权限管理

4.1 检查异常用户

# 查看所有用户
cut -d: -f1 /etc/passwd

# 查看有登录shell的用户
grep -v "/usr/sbin/nologin" /etc/passwd | grep -v "/bin/false"

4.2 检查sudo权限

sudo grep -r "NOPASSWD" /etc/sudoers*

4.3 检查空密码账户

sudo awk -F: '($2 == "") {print}' /etc/shadow

5. 日志分析工具

5.1 Logwatch - 日志分析

sudo apt install logwatch
sudo logwatch --detail High

5.2 GoAccess - Web日志分析

sudo apt install goaccess
goaccess /var/log/nginx/access.log --log-format=COMBINED

6. 自动化安全加固脚本

6.1 使用CIS基准脚本

# 下载适用于您系统的CIS基准脚本
wget https://github.com/ovh/debian-cis/archive/master.zip
unzip master.zip
cd debian-cis-master
sudo ./hardening.sh --audit-all

7. 定期安全更新

# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y
sudo unattended-upgrade -d

# CentOS/RHEL
sudo yum update -y

8. SSH安全加固

# 编辑SSH配置
sudo nano /etc/ssh/sshd_config

# 推荐修改项：
Port 2222                     # 修改默认端口
PermitRootLogin no            # 禁止root登录
PasswordAuthentication no     # 禁用密码认证，仅用密钥
MaxAuthTries 3                # 最大尝试次数
ClientAliveInterval 300       # 超时设置
ClientAliveCountMax 0

# 重启SSH服务
sudo systemctl restart sshd

9. 防火墙配置

9.1 UFW (Ubuntu)

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp  # SSH端口

9.2 Firewalld (CentOS/RHEL)

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

10. 监控工具

10.1 Htop - 进程监控

sudo apt install htop
htop

10.2 Glances - 综合监控

sudo apt install glances
glances

最佳实践建议

1. 定期审计：设置cron作业定期运行安全扫描
2. 最小权限原则：只开放必要的服务和端口
3. 密钥管理：使用SSH密钥而非密码，并保护私钥
4. 备份策略：定期备份重要配置和数据
5. 更新策略：及时应用安全补丁

通过合理组合这些工具和策略，您可以显著提高服务器的安全性，减少被入侵的风险。