Linux安全基线是保障服务器稳定的核心,需定期检查用户权限、文件配置、服务端口、日志审计与补丁更新;1. 禁用多余账户并限制root登录;2. 确保关键文件权限正确,禁用全局可写;3. 关闭非必要服务,防火墙仅开放必需端口;4. 启用日志监控,定期审查登录与sudo记录;5. 及时更新系统与内核;推荐使用Lynis、OpenSCAP或自定义脚本自动化巡检,结合Zabbix等平台实现告警,建立每月例行检查与变更后复查机制,有效防范因配置疏漏导致的安全风险。
系统安全状态的监控和定期进行安全基线检查是保障Linux服务器稳定运行的重要环节。很多安全问题源于配置疏漏、权限失控或未及时更新,通过系统化的检查流程可以提前发现并修复风险。
一、什么是Linux安全基线
安全基线是指一套经过验证的最低安全配置标准,涵盖用户权限、服务配置、日志策略、网络设置等方面。遵循基线能有效降低系统被攻击的概率。
常见参考标准包括:
- CIS Benchmarks(互联网安全中心发布的配置指南)
- 等保2.0(中国网络安全等级保护制度)
- 厂商自定义规范(如阿里云、腾讯云安全加固建议)
二、关键安全检查项与操作方法
以下为实际运维中必须关注的核心项目:
1. 用户与权限管理
检查是否存在多余或高危账户:
- 列出所有可登录用户:
awk -F: '$7!~/^(\/usr\/sbin\/nologin|\/bin\/false)$/ {print $1,$6,$7}' /etc/passwd - 禁用无用账户,例如test、demo等测试账号:
usermod -s /sbin/nologin username - 检查空密码账户:
awk -F: '($2=="") {print $1}' /etc/shadow(应无输出) - 限制root远程登录:
编辑/etc/ssh/sshd_config,设置PermitRootLogin no
2. 文件权限与敏感目录检查
确保关键系统文件不被非法修改:
- 检查
/etc/passwd、/etc/shadow、/etc/group权限是否正常:
正确权限应为644、600、644 - 查找全局可写文件:
find / -type f -perm -002 -name "*" 2>/dev/null - 检查.ssh目录权限:
chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys
3. 系统服务与端口暴露
关闭不必要的服务以减少攻击面:
- 查看正在监听的端口:
ss -tulnp或netstat -tulnp - 停止非必要服务(如telnet、rlogin、ftp):
systemctl disable telnet && systemctl stop telnet - 使用防火墙限制访问:
启用firewalld或iptables,仅开放必需端口(如22、80、443)
4. 日志审计与异常监控
日志是发现问题的第一线索:
- 确保rsyslog或journald正常运行:
systemctl status rsyslog - 定期检查关键日志:
- 登录失败:grep "Failed" /var/log/secure
- sudo使用记录:grep "sudo" /var/log/secure
- 异常时间登录:last -f /var/log/wtmp | head -20 - 配置logrotate防止日志膨胀
5. 软件补丁与内核更新
保持系统组件最新至关重要:
- CentOS/RHEL:
yum check-update && yum update - Ubuntu/Debian:
apt update && apt upgrade - 关注CVE公告,优先升级openssh、openssl、kernel等核心包
三、自动化工具推荐
手动检查效率低,可用工具提升覆盖度:
-
Lynis:开源安全审计工具,执行全面扫描
安装:wget https://cisofy.com/files/lynis-3.0.9.tar.gz && tar xzf lynis-3.0.9.tar.gz
运行:./lynis audit system - OpenSCAP:支持CIS规则检测,适合合规场景
- 自定义脚本+定时任务:将上述检查命令整合成shell脚本,配合cron每日执行
四、建立常态化安全巡检机制
安全不是一次性工作。建议:
- 每月执行一次完整基线检查
- 重大变更后立即复查(如新服务上线、用户调整)
- 保留检查报告,用于审计追溯
- 结合Zabbix、Prometheus等监控平台实现告警联动
基本上就这些。坚持做基础检查,比依赖高级防御更有效。多数入侵都发生在低级配置错误上,把基本功练扎实,系统才会真正安全。
