Alpine Linux 是一种轻量级、安全且资源高效的 Linux 发行版,特别适用于容器化和云环境。由于其设计理念,Alpine Linux 具有出色的安全性。然而,即使是在安全的设计下,系统安全也需要不断加固和维护。本文将提供一系列安全加固指南,帮助您轻松守护 Alpine Linux 系统的安全。

1. 使用 StrongSwan VPN 保障网络通信安全

1.1 安装 StrongSwan

sudo apk add strongswan

1.2 配置 StrongSwan

编辑 /etc/strongswan/charon.conf 文件,添加或修改以下配置:

config setup charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2, cfg 2, cri 2, cfg 2, hnd 2" conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 authby=secret keyexchange=ikev2 conn myvpn left=%any leftid=@mydomain.com leftsubnet=0.0.0.0/0 leftauth=psk right=%any rightid=@yourdomain.com rightsubnet=192.168.1.0/24 rightauth=psk psk="your_secret_password"

1.3 启动和使能 StrongSwan

sudo systemctl start strongswan sudo systemctl enable strongswan

2. 强化 SSH 访问控制

2.1 更改 SSH 默认端口

编辑 /etc/ssh/sshd_config 文件,将 Port 22 改为另一个端口号,如 Port 2222

sudo sed -i 's/Port 22/Port 2222/g' /etc/ssh/sshd_config

2.2 限制 SSH 登录用户

编辑 /etc/ssh/sshd_config 文件,添加以下配置:

AllowUsers username1 username2

2.3 启用 SSH 密码认证

确保 /etc/ssh/sshd_config 文件中的 PasswordAuthentication 设置为 yes

PasswordAuthentication yes

3. 防火墙配置

3.1 安装 iptables

sudo apk add iptables

3.2 配置 iptables

编辑 /etc/sysctl.conf 文件,添加以下配置:

net.ipv4.ip_forward=1 net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.conf.all.log_martians=1 net.ipv4.conf.default.log_martians=1 net.ipv4.icmp_ignore_bogus_error_messages=1

然后,使用以下命令使配置生效:

sudo sysctl -p

编辑 /etc/iptables/iptables.rules 文件,添加以下配置:

# INPUT chain -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT -A INPUT -j DROP # OUTPUT chain -A OUTPUT -j ACCEPT # FORWARD chain -A FORWARD -j DROP

最后,使 iptables 配置生效:

sudo systemctl restart iptables

4. 使用 Fail2Ban 防止暴力破解

4.1 安装 Fail2Ban

sudo apk add fail2ban

4.2 配置 Fail2Ban

编辑 /etc/fail2ban/jail.conf 文件,添加以下配置:

[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 5 findtime = 600 bantime = 3600

4.3 启动和使能 Fail2Ban

sudo systemctl start fail2ban sudo systemctl enable fail2ban

5. 使用 AppArmor 加强进程安全

5.1 安装 AppArmor

sudo apk add apparmor

5.2 配置 AppArmor

编辑 /etc/apparmor.d/local/abstractions/base 文件,添加以下配置:

network, read, write, execute, # ... 其他需要的权限 ...

然后,使 AppArmor 配置生效:

sudo apparmor_parser -R /etc/apparmor.d/local/abstractions/base

总结

通过以上安全加固指南,您可以为 Alpine Linux 系统提供全方位的安全保障。当然,安全是一个持续的过程,需要您不断关注最新的安全动态,及时更新系统和软件,以确保系统的安全。