服务器linux怎样加强访问控制

在Linux服务器上加强访问控制可以通过多种方法来实现，包括使用强密码策略、配置防火墙规则、启用SELinux或AppArmor、限制用户权限以及定期审计系统配置等。以下是一些具体的步骤和建议：

1. 使用强密码策略

• 设置复杂密码：要求用户使用至少8个字符的密码，包含大小写字母、数字和特殊字符。
• 定期更换密码：可以设置密码过期时间，强制用户定期更换密码。
• 使用密码管理工具：如passwd命令结合脚本，或者使用pass等密码管理工具。

2. 配置防火墙规则

• 使用iptables：

  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  sudo iptables -A INPUT -j DROP
  

• 使用ufw（Uncomplicated Firewall）：

  sudo ufw allow 22/tcp
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw deny from any to any
  

3. 启用SELinux或AppArmor

• SELinux：

  sudo yum install policycoreutils-python-utils
  sudo setenforce 1
  

• AppArmor：

  sudo apt-get install apparmor apparmor-utils
  sudo aa-enable /etc/apparmor.d/usr.sbin.sshd
  

4. 限制用户权限

• 最小权限原则：只授予用户完成任务所需的最小权限。
• 使用sudo：配置sudoers文件，限制用户可以执行的命令。

  sudo visudo
  # 添加如下行
  username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd
  

5. 定期审计系统配置

• 使用auditd：安装并配置auditd服务，监控系统文件和目录的访问。

  sudo yum install audit
  sudo systemctl start auditd
  sudo systemctl enable auditd
  

• 定期检查日志文件：如/var/log/secure、/var/log/auth.log等，及时发现异常行为。

6. 使用SSH密钥认证

• 禁用密码登录：

  sudo sed -i 's/.*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
  sudo sed -i 's/.*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
  

• 配置SSH密钥认证：要求用户使用SSH密钥对登录。

7. 更新系统和软件包

• 定期更新：保持系统和软件包的最新状态，修复已知的安全漏洞。

  sudo yum update
  

通过以上步骤，可以有效地加强Linux服务器的访问控制，提高系统的安全性。