从这几个方面做，可以确保你的Linux 系统更加安全，免受攻击_-a input -p tcp -m tcp --dport 22 -m time --timest

从这几个方面做，可以确保你的Linux 系统更加安全，免受攻击

系统安全是运维工作的重中之重。通过系统加固，可以有效降低安全风险。本文将介绍 Linux 系统安全加固的核心步骤，帮助你提升系统的安全性，防止潜在的攻击威胁。

一、基础安全配置

1. 防火墙配置

防火墙是保护系统免受网络攻击的第一道防线。常用的防火墙工具包括 iptables 和 firewalld。下面是它们的基本配置示例：

1）iptables 配置：

# 允许本地回环接口流量iptables -A INPUT -i lo -j ACCEPT

解释: 允许来自回环接口（即本地计算机自身）的所有流量。回环接口通常用于本地通信，不会受到网络攻击的威胁。

# 允许已建立和相关的连接iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

解释: 允许已建立的连接和与之相关的流量，这有助于保持现有连接的稳定性，避免中断合法的会话。

# 允许 SSH 流量iptables -A INPUT -p tcp --dport 22 -j ACCEPT

解释: 允许通过 TCP 协议访问端口 22（SSH 的默认端口），确保远程管理可以进行。

# 允许 HTTP 流量iptables -A INPUT -p tcp --dport 80 -j ACCEPT

解释: 允许通过 TCP 协议访问端口 80（HTTP 的默认端口），使得 Web 服务可以正常工作。

# 拒绝所有其他流量iptables -A INPUT -j DROP

解释: 拒绝所有未明确允许的流量，作为默认的拒绝策略，以防止未授权访问。

# 保存规则service iptables save

解释: 保存当前 iptables 配置，以便在系统重启后仍能生效。

2）firewalld 配置：

# 启用防火墙firewall-cmd --state

解释: 检查 firewalld 的当前状态，确保其已启用。

firewall-cmd --zone=public --add-port=22/tcp --permanent

解释: 在 public 区域中永久允许 TCP 端口 22 的流量，以支持 SSH 访问。

firewall-cmd --zone=public --add-port=80/tcp --permanent

解释: 在 public 区域中永久允许 TCP 端口 80 的流量，以支持 HTTP 服务。

# 重新加载配置firewall-cmd --reload

解释: 重新加载 firewalld 配置，使之前添加的规则生效。

2. 用户权限管理与审计

管理用户权限是确保系统安全的重要措施。使用 chmod 和 chown 命令来设置文件和目录权限。例如：

# 设置文件为只读chmod 444 /path/to/file

解释: 将指定文件的权限设置为只读（读权限给所有用户），防止文件被修改。

# 修改文件拥有者chown user:user /path/to/file

解释: 将指定文件的所有权更改为 user 用户及其用户组，以便只允许特定用户修改该文件。

auditd 配置：

# 安装 auditdapt-get install auditd

解释: 安装 auditd 工具，它用于监控和记录系统活动。

# 启动服务systemctl start auditd

解释: 启动 auditd 服务，以便开始记录审计日志。

# 配置审计规则echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules

解释: 添加审计规则以监控 /etc/passwd 文件的写入和属性更改（wa），并用 passwd_changes 作为关键字标记此规则。

# 重新加载规则auditctl -R /etc/audit/rules.d/audit.rules

解释: 重新加载审计规则，使新的规则立即生效。

3. 系统补丁与更新管理

定期更新系统补丁是防止漏洞被利用的重要措施。配置自动更新可以减少手动更新的工作：

# 安装 unattended-upgrades 工具apt-get install unattended-upgrades

解释: 安装 unattended-upgrades 工具，以便系统可以自动安装安全更新。

# 启用自动更新dpkg-reconfigure --priority=low unattended-upgrades

解释: 配置 unattended-upgrades 以启用自动更新，确保系统始终保持最新状态。

进行漏洞扫描与修复可以使用工具如 OpenVAS 或 Nessus。定期扫描系统并应用补丁是保持系统安全的关键步骤。

二、入侵检测与响应

1. 常用入侵检测系统：

入侵检测系统（IDS）可以帮助检测潜在的安全威胁。OSSEC 和 AIDE 是两个常用的工具：

OSSEC 安装：

# 安装 OSSECwget https://github.com/ossec/ossec-hids/archive/3.8.0.tar.gztar -zxvf 3.8.0.tar.gzcd ossec-hids-3.8.0./install.sh

解释: 从官方 GitHub 仓库下载 OSSEC 的压缩包，解压并运行安装脚本。

AIDE 安装：

# 安装 AIDEapt-get install aide

解释: 安装 AIDE 工具，用于文件和目录完整性检查。

# 初始化数据库aideinit

解释: 初始化 AIDE 数据库，创建当前系统状态的快照。

# 执行检查aide --check

解释: 执行文件完整性检查，检测文件系统的变化

2. 安全事件的响应流程

处理安全事件时，应遵循以下基本流程：

1. 检测：利用 IDS 工具和日志分析发现异常活动。
2. 响应：对可疑活动采取措施，隔离受影响系统。
3. 恢复：恢复系统至正常状态，应用修复补丁。
4. 报告：记录事件详情，分析原因并改进安全措施。

三、实战场景

假设你发现服务器上有未经授权的 SSH 登录尝试，可以通过以下步骤进行处理：

1、查看日志：使用 grep 查找日志中的异常活动。

grep 'sshd' /var/log/auth.log

解释: 查找 SSH 登录相关的日志信息，识别异常的登录尝试

2、阻止 IP 地址：如果发现异常 IP 地址，使用防火墙规则进行阻止。

iptables -A INPUT -s 192.168.1.100 -j DROP

解释: 将指定 IP 地址（如 192.168.1.100）添加到防火墙规则中，阻止其访问系统。

3、审计与修复：审查相关用户权限和配置文件，修复任何潜在的安全漏洞。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。
在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；
·搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；
·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；
·用Python编写漏洞的exp,然后写一个简单的网络爬虫；
·PHP基本语法学习并书写一个简单的博客系统；
·熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；
·了解Bootstrap的布局或者CSS。

8、超级黑客

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！、