通过命令行工具保护Linux服务器的关键步骤

1. 系统更新与补丁管理

# 更新软件包列表
sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
sudo yum update -y                      # CentOS/RHEL
sudo dnf upgrade -y                     # Fedora

# 设置自动安全更新
sudo apt install unattended-upgrades    # Debian/Ubuntu
sudo dpkg-reconfigure --priority=low unattended-upgrades

2. 用户账户安全

# 创建新用户并设置密码
sudo adduser newusername
sudo passwd newusername

# 禁用root远程登录
sudo sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

# 查看登录失败的尝试
sudo lastb

3. SSH安全配置

# 修改SSH默认端口
sudo sed -i 's/^#Port 22/Port 2222/' /etc/ssh/sshd_config

# 禁用密码认证，仅允许密钥登录
sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

# 限制SSH访问IP
echo "sshd: 192.168.1.0/24" | sudo tee -a /etc/hosts.allow
echo "sshd: ALL" | sudo tee -a /etc/hosts.deny

# 应用更改
sudo systemctl restart sshd

4. 防火墙配置

# 使用UFW (Ubuntu)
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp  # 替换为你的SSH端口

# 使用firewalld (CentOS/RHEL)
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

5. 入侵检测与监控

# 安装fail2ban防止暴力破解
sudo apt install fail2ban -y  # Debian/Ubuntu
sudo yum install fail2ban -y  # CentOS/RHEL

# 配置fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local  # 根据需求修改配置
sudo systemctl enable fail2ban && sudo systemctl start fail2ban

# 安装并配置rkhunter进行rootkit检测
sudo apt install rkhunter -y
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

6. 文件系统安全

# 查找具有SUID/SGID权限的文件
sudo find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -la {} \;

# 查找世界可写文件
sudo find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

# 检查重要文件的权限
ls -l /etc/passwd /etc/shadow /etc/group

7. 日志监控与分析

# 查看系统日志
sudo tail -f /var/log/syslog          # Debian/Ubuntu
sudo tail -f /var/log/messages        # CentOS/RHEL

# 查看认证日志
sudo tail -f /var/log/auth.log        # Debian/Ubuntu
sudo tail -f /var/log/secure          # CentOS/RHEL

# 安装并配置logwatch
sudo apt install logwatch -y
sudo nano /etc/logwatch/conf/logwatch.conf

8. 定期安全审计

# 使用Lynis进行安全审计
sudo apt install lynis -y  # 或从官网下载最新版
sudo lynis audit system

# 使用ClamAV进行病毒扫描
sudo apt install clamav clamav-daemon -y
sudo freshclam  # 更新病毒数据库
sudo clamscan -r /home

9. 备份策略

# 创建重要配置文件备份
sudo tar -czvf /backup/etc_backup_$(date +%Y%m%d).tar.gz /etc

# 设置cron定时备份
(crontab -l ; echo "0 2 * * * tar -czvf /backup/etc_backup_$(date +\%Y\%m\%d).tar.gz /etc") | crontab -

通过实施以上命令行操作，你可以显著提高Linux服务器的安全性。记得根据你的具体环境调整这些命令，并在生产环境中测试前先在测试服务器上验证。