Linux如何实施系统加固流程_Linux安全加固最佳实践

系统加固是提升Linux服务器安全性的关键步骤，尤其在生产环境或公网暴露场景中至关重要。通过最小化攻击面、强化访问控制和持续监控，能有效防范未授权访问与恶意行为。以下是基于行业标准的实用加固流程。

1. 账户与权限管理

禁用无用账户：检查 /etc/passwd，删除或锁定非必要用户（如 games、ftp 等）：

• 使用 usermod -L username 锁定账户
• 设置 shell 为 /sbin/nologin

强密码策略：配置 /etc/pam.d/common-password 和 /etc/login.defs，要求：

• 最小长度8位，包含大小写字母、数字、特殊字符
• 密码过期周期不超过90天
• 禁止重复使用最近5次的密码

限制sudo权限：仅授权必要用户使用sudo，并记录操作日志：

• 编辑 /etc/sudoers 使用 visudo
• 避免使用 ALL=(ALL) 全开放权限

2. 服务与端口最小化

关闭非必要服务：运行 systemctl list-unit-files --type=service | grep enabled 查看启用服务，停用以下常见非必要项：

• avahi-daemon（局域网发现）
• cups（打印服务）
• rpcbind（NFS相关）

防火墙规则配置：使用 firewalld 或 iptables 仅开放必需端口：

Grok

马斯克发起的基于大语言模型(LLM)的AI聊天机器人TruthGPT，现用名Grok

437

查看详情

• 默认拒绝所有入站连接
• 只允许SSH（建议改默认22端口）、HTTP/HTTPS等业务端口
• 限制SSH来源IP（如办公网络出口）

3. 文件系统与日志审计

关键目录权限控制：确保系统配置文件不可被普通用户修改：

• /etc/passwd 权限应为 644
• /etc/shadow 权限必须为 400 或 440
• 检查 world-writable 文件：find / -xdev -type f -perm -002 -print

启用审计服务auditd：监控敏感文件和系统调用：

• 安装并启动 auditd 服务
• 添加规则跟踪关键路径：
  -w /etc/shadow -p wa -k shadow_access
-w /usr/bin/passwd -p x -k passwd_exec
• 定期查看日志：ausearch -k shadow_access

4. SSH安全增强

修改默认配置：编辑 /etc/ssh/sshd_config 并重启sshd：

• 禁止root远程登录：PermitRootLogin no
• 禁用密码认证，使用密钥登录：PasswordAuthentication no
• 更改默认端口（如2222），减少暴力扫描
• 设置登录超时：ClientAliveInterval 300

防止暴力破解：

• 部署 fail2ban，自动封禁多次失败尝试的IP
• 配置 journald 配合过滤异常登录行为

基本上就这些。加固不是一次性任务，需结合定期巡检、补丁更新和入侵检测机制形成闭环。保持系统最小化原则，越简单越安全。