系统加固通过账户管理、服务最小化、文件权限控制和SSH安全等措施提升Linux安全性。1. 禁用无用账户并实施强密码策略,限制sudo权限;2. 关闭非必要服务,配置防火墙仅开放必需端口并限制SSH来源IP;3. 设置关键目录权限,启用auditd审计敏感文件访问;4. 修改SSH配置禁止root登录、使用密钥认证、更改默认端口并部署fail2ban防暴力破解。需持续巡检与更新以维持安全闭环。
系统加固是提升Linux服务器安全性的关键步骤,尤其在生产环境或公网暴露场景中至关重要。通过最小化攻击面、强化访问控制和持续监控,能有效防范未授权访问与恶意行为。以下是基于行业标准的实用加固流程。
1. 账户与权限管理
禁用无用账户:检查 /etc/passwd,删除或锁定非必要用户(如 games、ftp 等):
- 使用
usermod -L username锁定账户 - 设置 shell 为
/sbin/nologin
强密码策略:配置 /etc/pam.d/common-password 和 /etc/login.defs,要求:
- 最小长度8位,包含大小写字母、数字、特殊字符
- 密码过期周期不超过90天
- 禁止重复使用最近5次的密码
限制sudo权限:仅授权必要用户使用sudo,并记录操作日志:
- 编辑
/etc/sudoers使用visudo - 避免使用
ALL=(ALL)全开放权限
2. 服务与端口最小化
关闭非必要服务:运行 systemctl list-unit-files --type=service | grep enabled 查看启用服务,停用以下常见非必要项:
- avahi-daemon(局域网发现)
- cups(打印服务)
- rpcbind(NFS相关)
防火墙规则配置:使用 firewalld 或 iptables 仅开放必需端口:
- 默认拒绝所有入站连接
- 只允许SSH(建议改默认22端口)、HTTP/HTTPS等业务端口
- 限制SSH来源IP(如办公网络出口)
3. 文件系统与日志审计
关键目录权限控制:确保系统配置文件不可被普通用户修改:
-
/etc/passwd权限应为 644 -
/etc/shadow权限必须为 400 或 440 - 检查 world-writable 文件:
find / -xdev -type f -perm -002 -print
启用审计服务auditd:监控敏感文件和系统调用:
- 安装并启动
auditd服务 - 添加规则跟踪关键路径:
-w /etc/shadow -p wa -k shadow_access-w /usr/bin/passwd -p x -k passwd_exec - 定期查看日志:
ausearch -k shadow_access
4. SSH安全增强
修改默认配置:编辑 /etc/ssh/sshd_config 并重启sshd:
- 禁止root远程登录:
PermitRootLogin no - 禁用密码认证,使用密钥登录:
PasswordAuthentication no - 更改默认端口(如2222),减少暴力扫描
- 设置登录超时:
ClientAliveInterval 300
防止暴力破解:
- 部署 fail2ban,自动封禁多次失败尝试的IP
- 配置 journald 配合过滤异常登录行为
基本上就这些。加固不是一次性任务,需结合定期巡检、补丁更新和入侵检测机制形成闭环。保持系统最小化原则,越简单越安全。
