在网络安全日益受到重视的今天，Linux系统的安全加固也成为了一个非常重要的问题。攻击者可以利用系统中存在的漏洞进行攻击，而加固措施则可以有效地减少这种攻击的风险。本文将介绍如何通过Linux系统安全加固防范攻击，涵盖的内容包括：SSH、防火墙、SELinux、密码策略和日志管理。

1. SSH

SSH是一种常用的远程登录协议，因此很容易成为攻击者攻击的目标。为了提高SSH的安全性，我们需要做以下几点：

1.1 更改SSH默认端口

默认情况下，SSH使用的22端口是众所周知的，容易成为攻击的目标。因此，更改SSH默认端口可以减少攻击者的靶向性。可以通过编辑/etc/ssh/sshd_config文件，将Port 22改为其他端口号，例如：Port 12345。

1.2 禁用root账户登录

禁止root账户直接登录可以防止攻击者通过猜测密码等方式获取root权限。可以通过编辑/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no。

1.3 使用密钥认证

密钥认证比口令认证更加安全，因为攻击者很难破解密钥。可以通过生成公钥和私钥，在客户端上保存私钥，在服务器上保存公钥，以实现密钥认证。

2. 防火墙

防火墙可以有效地控制流量，限制访问权限，保护系统不受网络攻击。常用的防火墙有iptables和firewalld。

2.1 iptables

iptables是Linux系统自带的防火墙，可以通过命令行配置。以下命令可以实现限制80端口的访问：

iptables -I INPUT -p tcp --dport 80 -j DROP

iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

第一条命令将所有流量丢弃，第二条命令允许指定网段的流量通过。

2.2 firewalld

firewalld是CentOS 7中默认的防火墙，相对于iptables更加用户友好。以下命令可以实现限制80端口的访问：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

firewall-cmd --reload

第一条命令允许指定网段的流量通过，第二条命令重载防火墙规则。

3. SELinux

SELinux是Linux系统的一个安全机制，可以控制进程对文件和资源的访问。启用SELinux可以增强系统的安全性，以下命令可以启用SELinux：

setenforce 1

可以通过编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled来禁用SELinux。

4. 密码策略

密码策略可以防止攻击者通过破解密码等方式获取系统权限。以下是一些设置密码策略的方法：

4.1 修改密码复杂度要求

可以通过编辑/etc/pam.d/system-auth文件，将以下内容添加到password行中：

password requisite pam_cracklib.so try_first_pass retry=3 type=

L credit=-1 ucredit=-1 dcredit=-1 ocredit=-1

这样可以要求用户设置包含大小写字母、数字和特殊字符的强密码。

4.2 设置密码过期时间

可以通过编辑/etc/login.defs文件，将PASS_MAX_DAYS和PASS_MIN_DAYS分别设置为90和7，这样用户必须每90天更改一次密码，并且不能在7天内再次更改密码。

5. 日志管理

日志管理可以帮助我们发现系统中的问题，比如攻击尝试和漏洞利用。以下是一些日志管理的方法：

5.1 安装日志分析工具

可以安装一些日志分析工具，比如Logwatch和Logrotate，它们可以帮助我们更好地管理日志文件。

5.2 监控系统日志

可以定期查看系统日志文件，发现包含错误信息和攻击尝试的记录。

总结：

通过SSH、防火墙、SELinux、密码策略和日志管理等安全加固措施，可以大大减少Linux系统受到攻击的风险。在实际应用中，我们需要结合实际情况进行具体配置，以提高系统的安全性。