保护Linux服务器的命令行防御武器

作为IT工程师，掌握强大的命令行工具是保护Linux服务器的关键。以下是一套全面的防御策略和工具集：

1. 系统监控与入侵检测

基本监控工具

# 实时监控系统进程
top
htop

# 监控磁盘使用
df -h
du -sh *

# 监控网络连接
netstat -tulnp
ss -tulnp

# 监控登录活动
last
lastb

高级入侵检测

# 安装并配置AIDE (高级入侵检测环境)
sudo apt install aide
sudo aideinit
sudo aide --check

# 使用Lynis进行安全审计
sudo apt install lynis
sudo lynis audit system

2. 防火墙配置

UFW (简单防火墙)

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https
sudo ufw status verbose

iptables (高级防火墙)

# 基本规则示例
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -j DROP

# 保存规则
sudo iptables-save > /etc/iptables.rules

3. 用户与权限管理

# 检查特权用户
grep '^sudo' /etc/group

# 检查空密码账户
sudo awk -F: '($2 == "") {print}' /etc/shadow

# 检查UID为0的用户
awk -F: '($3 == "0") {print}' /etc/passwd

# 修改密码策略
sudo vi /etc/login.defs
sudo vi /etc/pam.d/common-password

4. 日志分析与监控

# 查看系统日志
journalctl -xe
tail -f /var/log/syslog
tail -f /var/log/auth.log

# 使用logwatch分析日志
sudo apt install logwatch
sudo logwatch --detail High --range yesterday

5. 恶意软件扫描

# 安装和使用ClamAV
sudo apt install clamav clamav-daemon
sudo freshclam  # 更新病毒数据库
sudo clamscan -r / --exclude-dir=/sys/ --exclude-dir=/proc/

# 使用rkhunter检测rootkit
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

6. SSH安全加固

# 编辑SSH配置
sudo vi /etc/ssh/sshd_config

# 推荐设置：
Port 2222  # 修改默认端口
PermitRootLogin no
PasswordAuthentication no  # 使用密钥认证
MaxAuthTries 3
LoginGraceTime 1m
AllowUsers your_username

# 重启SSH服务
sudo systemctl restart sshd

7. 自动安全更新

# 配置自动安全更新
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

# 检查配置
sudo vi /etc/apt/apt.conf.d/50unattended-upgrades

8. 网络监控与防护

# 使用fail2ban防止暴力破解
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# 监控网络流量
sudo apt install nethogs
sudo nethogs

# 使用tcpdump抓包分析
sudo tcpdump -i eth0 -n

9. 文件完整性检查

# 检查重要文件权限
ls -l /etc/passwd /etc/shadow /etc/group

# 查找SUID/SGID文件
find / -perm /4000 -type f -exec ls -ld {} \;
find / -perm /2000 -type f -exec ls -ld {} \;

# 查找世界可写文件
find / -perm -2 -type f -exec ls -ld {} \;

10. 应急响应工具包

# 安装应急响应工具
sudo apt install chkrootkit
sudo apt install unhide
sudo apt install busybox-static  # 应急shell环境

# 创建应急响应脚本
#!/bin/bash
echo "=== 系统快照 ==="
date
echo "=== 当前用户 ==="
w
echo "=== 网络连接 ==="
netstat -tulnp
echo "=== 进程列表 ==="
ps aux
echo "=== 登录历史 ==="
last

记住，安全是一个持续的过程，而不是一次性任务。定期审计、监控和更新你的系统是保持服务器安全的关键。