linux系统加固围绕“最小权限、及时更新、有效监控、纵深防御”四原则系统性收缩攻击面,涵盖账户认证强化、服务 端口 精简、文件权限加固及日志审计响应四大环节,强调可验证、可回溯、可持续的闭环实践。
Linux 系统加固不是 堆砌安全 工具,而是围绕“最小权限、及时更新、有效监控、纵深防御”四个核心原则,系统性地收缩攻击面。关键不在于一步到位,而在于每一步都可验证、可回溯、可持续。
一、基础账户与认证强化
默认账户和弱密码是入侵的第一突破口。必须从登录入口开始收紧:
- 禁用或删除无用系统账户(如games、lp、sync),保留仅 root 和必要运维账号
- 强制密码复杂度:编辑/etc/pam.d/common-password,加入password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
- 限制 root 远程登录:在 /etc/ssh/sshd_config 中设PermitRootLogin no,改用普通用户 +sudo 方式管理
- 启用 SSH 密钥登录并禁用密码登录:PubkeyAuthentication yes + PasswordAuthentication no,重启 sshd 生效
二、服务与 端口 精简控制
每个运行的服务都是潜在风险点。目标是“只开必需的,关掉所有默认多余的”:
- 列出当前监听端口:ss -tuln 或 netstat -tuln,重点关注非业务端口(如 25、111、631)
- 停止并禁用无关服务:systemctl stop avahi-daemon cups rpcbind,再执行systemctl disable …
- 配置 防火墙(推荐nftables):默认策略设为 DROP,仅放行业务所需端口(如 80/443/22),禁止全网段 SSH(如限制ip saddr 192.168.10.0/24 tcp dport 22 accept)
- 检查开机自启项:systemctl list-unit-files –state=enabled,逐个确认必要性
三、文件系统与权限加固
防止提权和后门驻留,需严格约束关键路径的可写性和执行权限:
- 设置关键目录不可执行(noexec)和不可写(nosuid、nodev):修改 /etc/fstab,例如/tmp /var/tmp /dev/shm 挂载选项追加noexec,nosuid,nodev,然后mount -o remount …
- 查找并修复高危权限文件:find / -xdev -type f (-perm -4000 -o -perm -2000) 2>/dev/NULL,只保留 /bin/ping、/usr/bin/sudo 等确需 SUID 的程序
- 锁定关键系统文件:chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow(操作前确保有应急恢复手段)
- 启用 SELinux 或 appArmor:centos/RHEL 默认启用 SELinux,检查状态sestatus;ubuntu 建议启用 AppArmor:aa-status,并加载对应 profile
四、日志审计与异常响应闭环
没有日志的安全等于没安全。加固必须包含可观测性和快速响应能力:
- 集中收集关键日志:配置 rsyslog 或journalctl –since “2 hours ago“,将 auth.log、secure、messages、audit.log 同步至独立日志服务器
- 启用内核审计规则:编辑/etc/audit/rules.d/custom.rules,加入监控敏感操作,例如:-w /etc/passwd -p wa -k identity、-a always,exit -F arch=b64 -S execve -k execution
- 安装轻量级入侵检测(如 aide):初始化 数据库aide –init,重命名生成库,定期校验aide –check
- 配置登录失败告警:用 faillog -a 查看失败记录,结合 swatch 或自定义脚本,对 5 分钟内超 3 次失败登录触发邮件 / 企业 微信 通知
基本上就这些。真正有效的 Linux 加固不是一次性的“打补丁”,而是把上述动作变成部署模板、CI/CD 检查项和定期巡检清单。每次系统上线前跑一遍加固脚本,每月做一次配置比对,安全才能真正落地。
