linux系统加固需理清攻击面、堵住入口、收紧配置。关闭无用服务 端口,强化ssh(禁 root、密钥登录、改端口),落实最小权限,启用 UFW 和 f ail2ban 等基础防护,并定期审计更新。
linux 系统 加固不是装几个 工具 就完事,关键是理清攻击面、堵住常见入口、收紧默认配置。下面这些操作覆盖了 90% 的生产环境高频风险点,按优先级和实操性整理,不 堆概念,直接上干货。
关闭无用服务与 端口
默认安装常带一堆不用的服务(如 telnet、ftp、rpcbind),它们是攻击者第一波扫描目标。先查正在监听的端口和服务:
- netstat -tuln 或 ss -tuln 查看监听端口
- systemctl list-unit-files –type=service | grep enabled 看哪些服务开机自启
- 确认非必要服务(比如 cups、avahi-daemon、postfix 若不用邮件功能)→ systemctl disable –now cups.service
特别注意:云服务 器默认开放 22(SSH)和 80/443,其他端口一律用 防火墙 显式放行,别依赖“没开服务就安全”。
强化 SSH 登录安全
SSH 是 Linux 最常被暴力破解的入口,必须改默认配置:
- 编辑 /etc/ssh/sshd_config,确保以下几项已设:
- PermitRootLogin no(禁 root 远程直登)
- PasswordAuthentication no(强制密钥登录)
- Port 2222(改非标端口,防脚本扫 22)
- MaxAuthTries 3 和 LoginGraceTime 60(限制试错频次与时长)
- 改完运行 systemctl restart sshd,并先用新密钥连通再退出,避免锁死
最小权限原则落地
别让普通用户有 sudo 权限,也别让服务进程跑在 root 下:
- 用 usermod -aG sudo username 谨慎加人进 sudo 组,且配合 visudo 限定命令(如只允许重启nginx)
- Web 服务(nginx/apache)用独立低权用户运行:user nginx; 在配置里指定,而非默认用 root 启 worker
- 检查关键目录权限:/etc/shadow 必须是 000 或 400,/etc/passwd 可读但不能写;用 chmod 600 /etc/shadow 修复
启用基础防护层
不用装复杂 IDS,Linux 自带 工具 就能挡大部分 自动化 攻击:
- UFW(Uncomplicated Firewall):一行启用 ufw enable,默认拒绝入站,再按需放行:ufw allow 2222/tcp
- fail2ban:监控日志自动封 IP,装完启动即可生效:apt install fail2ban && systemctl enable –now fail2ban
- Automatic security updates:ubuntu/debian开自动更新:apt install unattended-upgrades && dpkg-reconfigure -plow unattended-upgrades
基本上就这些。加固不是一劳永逸,而是定期检查(比如每月跑一次 lynis audit system)、及时关新暴露的端口、不给 root 密码、不重用密钥——安全不在多,而在稳。
