Linux系统如何加固_深度讲解提升系统稳定性【教学】

Linux系统加固核心是缩小攻击面、限制权限、及时响应异常，重点在配置管理、服务精简、日志审计和更新机制；需关闭非必要服务与端口、启用防火墙、禁用IPv6（若不用）、禁止root远程登录、强制密码复杂度、清理长期未改密账户、启用auditd监控敏感操作。

Linux系统加固不是装几个工具就完事，核心是缩小攻击面、限制权限、及时响应异常。重点在配置管理、服务精简、日志审计和更新机制，而不是堆砌安全软件。

关掉不用的服务和端口

默认安装常开启SSH、FTP、Telnet、HTTP等服务，但多数场景只需SSH。运行ss -tuln或netstat -tuln查看监听端口，对照业务需求逐个确认是否必要。

• 用systemctl disable --now servicename彻底停用非必需服务（如cups、avahi-daemon、rpcbind）
• 防火墙必须启用：推荐ufw（桌面/轻量环境）或firewalld（CentOS/RHEL），仅放行明确需要的端口，例如只允许22/tcp且限定来源IP
• 禁用IPv6若未使用：在/etc/sysctl.conf中添加net.ipv6.conf.all.disable_ipv6 = 1并执行sysctl -p

严格控制用户与权限

root直接登录、弱密码、共享账户是常见风险点。加固从身份入口开始。

• 禁止root远程SSH登录：修改/etc/ssh/sshd_config中PermitRootLogin no，改用普通用户+sudo
• 强制密码复杂度：安装libpam-pwquality（Debian/Ubuntu）或pam_pwquality（RHEL/CentOS），配置/etc/pam.d/common-password，要求最小长度、大小写、数字、特殊字符
• 定期清理无用账户：cut -d: -f1 /etc/passwd | xargs -I{} sh -c 'chage -l {} 2>/dev/null | grep "Password expires" | grep "never" || echo {}'可快速定位长期未改密账户

启用日志审计与实时监控

没记录=没发生；没分析=白记录。关键不是存多少日志，而是能快速定位异常行为。

Docky AI

多合一AI浏览器助手，解答问题、绘制图片、阅读文档、强化搜索结果、辅助创作

100

查看详情

• 开启auditd：监控敏感操作，如/etc/shadow读写、sudo命令执行、用户切换。规则示例：-w /etc/shadow -p wa -k shadow_access
• 集中日志建议用/var/log/secure、/var/log/auth.log、/var/log/messages保留90天以上
• 用faillog查暴力尝试，lastb看失败登录，配合脚本自动封IP（如结合fail2ban）

保持内核与软件最小化更新

不更新=留后门；盲目更新=引新坑。关键是建立可控、可回退的更新策略。

• 禁用自动升级（尤其生产环境）：Ubuntu中关闭unattended-upgrades，RHEL中设yum-cron为notify-only模式
• 只更新安全补丁：Debian/Ubuntu用apt list --upgradable | grep security，RHEL/CentOS用yum update --security
• 内核保持最新稳定版，但避免频繁切换。升级前备份/boot并验证grub配置，确保旧内核仍可启动

基本上就这些。加固不是一劳永逸，而是形成“检查→收敛→验证→复盘”的闭环。每次上线新服务、新增用户、调整网络策略，都应回到这四个维度再过一遍。不复杂，但容易忽略。

以上就是Linux系统如何加固_深度讲解提升系统稳定性【教学】的详细内容，更多请关注php中文网其它相关文章！