Linux系统如何加固_最佳实践总结助你快速突破【教程】

Linux系统加固围绕最小权限、纵深防御、持续监控三大原则，通过禁用非必要账户与服务、强化SSH认证、精简端口、收紧文件权限、启用日志审计与入侵检测实现。

Linux系统加固不是堆砌工具，而是围绕“最小权限、纵深防御、持续监控”三个核心原则做减法和加固。重点不在功能多全，而在攻击面够小、配置够严、响应够快。

账户与认证安全

默认账户和弱密码是入侵第一跳板。必须清理或禁用所有非必要用户，尤其是root直接登录。

• 执行 sudo passwd -l root 禁用root密码登录（改用sudo+普通用户）
• 用 sudo usermod -s /usr/sbin/nologin username 禁用仅用于服务的账户交互式登录
• 在 /etc/ssh/sshd_config 中设 PermitRootLogin no、PasswordAuthentication no（启用密钥认证后）
• 安装 faillock（RHEL/CentOS）或 pam_faillock.so（Debian/Ubuntu），限制5次失败后锁定15分钟

服务与端口精简

每多一个运行的服务，就多一个潜在漏洞入口。只开必需端口，关掉所有默认启用但实际不用的服务。

• 用 ss -tuln 或 netstat -tuln 查看监听端口，对照业务确认是否必要
• 停用非必要服务：sudo systemctl disable --now avahi-daemon cupsd rpcbind（常见冗余服务）
• 用 ufw（Ubuntu）或 firewalld（RHEL）设置默认拒绝策略，再按需放行端口（如只允SSH 22、HTTP 80/443）
• 对Web服务，把Nginx/Apache运行用户改为专用低权限用户（如 www-data），禁止其shell访问

文件系统与权限控制

敏感文件被篡改或误读，常导致提权或信息泄露。关键在于权限收紧 + 不可写 + 审计跟踪。

星辰Agent

科大讯飞推出的智能体Agent开发平台，助力开发者快速搭建生产级智能体

404

查看详情

• 加固关键配置文件：sudo chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow；设权限为 644（passwd）或 600（shadow）
• 挂载时启用安全选项：在 /etc/fstab 中为根分区添加 nodev,nosuid,noexec（对/tmp、/var/tmp等临时目录尤其重要）
• 启用 aide（高级入侵检测）定期校验关键文件哈希，初始化后存于只读介质或远程服务器
• 用 chattr +i /etc/passwd 锁定关键文件（需先卸载SELinux/AppArmor冲突项，慎用）

日志与监控不可少

没日志=没证据；不分析=没响应。加固必须包含“可观测性闭环”——记录谁、何时、做了什么。

• 确保 rsyslog 或 syslog-ng 运行，并将日志发往远程服务器（防本地删日志）
• 开启命令审计：在 /etc/audit/rules.d/audit.rules 加入 -a always,exit -F arch=b64 -S execve（记录所有命令执行）
• 每日检查 /var/log/auth.log（Debian）或 /var/log/secure（RHEL）中的异常登录、sudo操作、失败认证
• 部署轻量级IDS如 ossec-hids 或 wazuh，自动告警暴力破解、敏感文件修改、异常进程启动

基本上就这些。不复杂但容易忽略——真正有效的加固，90%靠配置严谨，10%靠工具辅助。上线前跑一遍CIS Benchmark检查清单，比装十个“安全软件”更实在。

以上就是Linux系统如何加固_最佳实践总结助你快速突破【教程】的详细内容，更多请关注php中文网其它相关文章！