Linux系统如何加固_高频场景实战指导更易上手【指导】-linux运维-PHP中文网

Linux系统如何加固_高频场景实战指导更易上手【指导】

冷漠man

发布： 2025-12-16 16:59:23

原创

892人浏览过

Linux系统加固需围绕“最小权限、及时更新、有效监控”三大核心快速落地：清理冗余账户并限制sudo权限；SSH禁用密码登录、强制密钥认证并修改端口；防火墙默认拒绝、仅开放必要端口；启用日志轮转与自动安全更新。

linux系统如何加固_高频场景实战指导更易上手【指导】

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控”三个核心，在高频使用场景中快速落地关键措施。以下按实际运维中最常接触的环节展开，每项都可立即执行。

默认安装常带测试账户或弱密码用户，这是入侵第一跳板。先清理再加固：

用 sudo awk -F: '$3==0 {print $1}' /etc/passwd 检查是否有多余root级用户（只应有root）
禁用不用的系统账户：sudo usermod -L username（加-L锁账户，-s /bin/false也可）
限制sudo范围：编辑/etc/sudoers（务必用visudo），避免全命令授权；例如只允重启nginx：%webadmin ALL=(ALL) /bin/systemctl restart nginx

SSH是外网入口，90%暴力破解针对它。关掉密码登录是最简单有效的一步：

修改/etc/ssh/sshd_config：PasswordAuthentication no、PermitRootLogin no、Port 2222（改非标端口防扫描）
生成并部署密钥对：ssh-keygen -t ed25519 → ssh-copy-id -p 2222 user@host
重启生效：sudo systemctl restart sshd（注意保留当前会话，测试新连接成功后再断开）

别信“内网很安全”，本地提权后横向移动很常见。ufw足够轻量且直观：

Ghostwriter

Replit推出的AI编程助手，一个强大的IDE，编译器和解释器。

238

启用ufw并设默认策略：sudo ufw default deny incoming、sudo ufw default allow outgoing
只开业务端口，例如Web服务：sudo ufw allow 80/tcp、sudo ufw allow 443/tcp、sudo ufw allow 2222/tcp（对应SSH新端口）
启用：sudo ufw enable，用sudo ufw status verbose确认规则已加载

加固不是一劳永逸，得让异常留痕、漏洞不堆积：

确保日志轮转正常：ls -l /var/log/*.log* 查看是否按天分割；检查/etc/logrotate.d/rsyslog配置
设置自动安全更新（Ubuntu/Debian）：sudo apt install unattended-upgrades，启用：sudo dpkg-reconfigure -plow unattended-upgrades
每周手动跑一次检查：sudo apt list --upgradable（Debian系）或sudo yum check-update（RHEL系）