强化账户管理、优化SSH配置、启用防火墙及规范文件权限可显著提升Linux系统安全。禁用无关账户并设强密码策略;改SSH默认端口,禁root登录,推密钥认证;用防火墙限访问,仅开必要端口;严格控制文件权限,保护敏感数据;定期审计日志与更新补丁以持续防御威胁。
防止未授权访问是保障Linux系统安全的核心任务。通过合理的配置和权限管理,可以有效降低系统被攻击或滥用的风险。以下是几种关键的配置方法,帮助提升系统的安全性。
1. 强化用户账户与密码策略
用户账户是系统访问的第一道防线,必须严格管理。
- 禁用不必要的用户账户,特别是默认账户(如guest、test等)。
- 使用passwd -l username锁定长期不用的账户。
- 设置强密码策略,编辑/etc/pam.d/common-password文件,启用pam_pwquality.so模块限制密码复杂度。
- 配置密码有效期,修改/etc/login.defs中的PASS_MAX_DAYS、PASS_MIN_DAYS等参数。
2. 合理配置SSH远程登录
SSH是远程管理的主要方式,但开放不当容易被暴力破解。
- 修改默认SSH端口(22)为非常用端口,减少自动扫描风险。
- 禁止root用户直接登录,设置PermitRootLogin no在/etc/ssh/sshd_config中。
- 使用密钥认证代替密码登录,提高身份验证安全性。
- 限制允许登录的用户组或用户,通过AllowUsers或AllowGroups配置。
- 重启SSH服务使配置生效:systemctl restart sshd。
3. 使用防火墙控制网络访问
防火墙能有效阻止非法连接尝试。
- 启用并配置iptables或ufw,只开放必要的端口(如HTTP、HTTPS、自定义SSH端口)。
- 拒绝所有未明确允许的入站连接,执行默认拒绝策略。
- 限制特定IP或IP段访问敏感服务,例如只允许可信IP连接SSH。
4. 设置文件与目录权限
不正确的文件权限可能导致敏感信息泄露或被篡改。
- 定期检查关键目录权限,如/etc、/home、/var/log等,确保非授权用户无法读写。
- 使用chmod和chown命令合理设置权限,避免使用777权限。
- 对敏感文件(如/etc/shadow)设置仅root可读:chmod 600 /etc/shadow。
