linux系统加固核心是缩小攻击面、限制权限、及时响应异常,重点在配置管理、服务精简、日志审计和更新机制;需关闭非必要服务与 端口 、启用 防火墙、禁用ipv6(若不用)、禁止 root 远程登录、强制密码复杂度、清理长期未改密账户、启用 auditd 监控敏感操作。
linux 系统 加固不是装几个 工具 就完事,核心是缩小攻击面、限制权限、及时响应异常。重点在配置管理、服务精简、日志审计和更新机制,而不是 堆砌安全软件。
关掉不用的服务和 端口
默认安装常开启 ssh、FTP、Telnet、http 等服务,但多数场景只需 SSH。运行 ss -tuln 或netstat -tuln查看监听端口,对照业务需求逐个确认是否必要。
- 用 systemctl disable –now servicename 彻底停用非必需服务(如 cups、avahi-daemon、rpcbind)
- 防火墙 必须启用:推荐ufw(桌面 / 轻量环境)或firewalld(centos/RHEL),仅放行明确需要的端口,例如只允许 22/tcp 且限定来源 IP
- 禁用 IPv6 若未使用:在 /etc/sysctl.conf 中添加 net.ipv6.conf.all.disable_ipv6 = 1 并执行sysctl -p
严格控制用户与权限
root 直接登录、弱密码、共享账户是常见风险点。加固从身份入口开始。
- 禁止 root 远程 SSH 登录:修改 /etc/ssh/sshd_config 中PermitRootLogin no,改用普通用户 +sudo
- 强制密码复杂度:安装libpam-pwquality(debian/ubuntu)或pam_pwquality(RHEL/CentOS),配置/etc/pam.d/common-password,要求最小长度、大小写、数字、特殊字符
- 定期清理无用账户:cut -d: -f1 /etc/passwd | xargs -I{} sh -c ‘chage -l {} 2>/dev/NULL | grep “Password expires” | grep “never” || echo {}’可快速定位长期未改密账户
启用日志审计与实时监控
没记录 = 没发生;没分析 = 白记录。关键不是存多少日志,而是能快速定位异常行为。
- 开启 auditd:监控敏感操作,如/etc/shadow 读写、sudo 命令执行、用户切换。规则示例:-w /etc/shadow -p wa -k shadow_access
- 集中日志建议用 /var/log/secure、/var/log/auth.log、/var/log/messages 保留 90 天以上
- 用 faillog 查暴力尝试,lastb看失败登录,配合脚本自动封 IP(如结合fail2ban)
保持内核与软件最小化更新
不更新 = 留后门;盲目更新 = 引新坑。关键是建立可控、可回退的更新策略。
- 禁用自动升级(尤其生产环境):Ubuntu 中关闭 unattended-upgrades,RHEL 中设yum-cron 为 notify-only 模式
- 只更新安全补丁:Debian/Ubuntu 用apt list –upgradable | grep security,RHEL/CentOS 用yum update –security
- 内核保持最新稳定版,但避免频繁切换。升级前备份 /boot 并验证 grub 配置,确保旧内核仍可启动
基本上就这些。加固不是一劳永逸,而是形成“检查→收敛→验证→复盘”的闭环。每次上线新服务、新增用户、调整网络策略,都应回到这四个维度再过一遍。不复杂,但容易忽略。
