Linux系统加固核心是缩小攻击面、强化身份控制、收紧默认策略,需锁定非必要账户、强制密码策略、禁用root远程登录、精简服务端口、加固文件权限、启用日志审计、管理内核模块与自动更新,并持续复核。
Linux系统加固不是加几条防火墙规则就完事,核心是缩小攻击面、强化身份控制、收紧默认策略。重点不在“装了什么”,而在“关掉什么、限制什么、记录什么”。
账户与口令策略必须收紧
默认配置往往宽松,比如新建用户无密码过期、root可直接登录、弱口令允许通过。这些都要改。
- 锁定非必要系统账户:用 passwd -l username 禁用如sync、shutdown、halt等预置账户(root除外)
- 强制密码有效期:编辑 /etc/login.defs,设 PASS_MAX_DAYS 90、PASS_MIN_LEN 8、PASS_WARN_AGE 7
- 启用PAM复杂度校验:在 /etc/pam.d/system-auth 中添加 pam_pwquality.so retry=3 minlen=8 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
- 禁止root远程SSH登录:修改 /etc/ssh/sshd_config 中的 PermitRootLogin no,然后 systemctl restart sshd
服务与端口按需精简
开机自启的服务越多,潜在入口就越多。只留真正需要的,其余一律关闭或禁用。
- 查当前监听端口:ss -tuln 或 netstat -tuln(若已安装)
- 停用并禁用非必要服务:例如 systemctl stop avahi-daemon && systemctl disable avahi-daemon
- 用 systemctl list-unit-files --type=service --state=enabled 检查所有开机启动项,逐个评估
- 对Web类服务(如httpd/nginx),限制监听地址为 127.0.0.1 或内网IP,避免暴露公网
文件权限与日志审计不能松懈
关键配置文件被篡改、敏感操作没记录,等于给入侵者铺路。
- 加固关键文件权限:chmod 600 /etc/shadow /etc/gshadow、chmod 644 /etc/passwd /etc/group
- 启用日志轮转和远程日志:配置 /etc/logrotate.d/rsyslog,并考虑用 rsyslog 将日志发往专用日志服务器
- 开启失败登录审计:确保 /var/log/secure 和 /var/log/auth.log 可写且不被普通用户删除(可用 chattr +a 设追加只写)
- 检查SUID/SGID异常文件:find / -perm -4000 -o -perm -2000 -type f 2>/dev/null | grep -E "(bin|sbin)",确认每个是否合理
内核与更新机制要主动管理
老旧内核有已知漏洞,手动更新又易遗漏。自动化+最小化是关键。
- 禁用不必要的内核模块:在 /etc/modprobe.d/blacklist.conf 中添加 install usb-storage /bin/false 等行
- 启用内核保护机制:确认 /proc/sys/kernel/kptr_restrict 值为 2,/proc/sys/kernel/dmesg_restrict 为 1
- 设置自动安全更新(CentOS/RHEL系):yum install yum-cron,启用并配置 /etc/yum/yum-cron.conf 中的 update_cmd = security
- 定期检查已安装包漏洞:dnf updateinfo list security(RHEL/CentOS 8+)或 apt list --upgradable(Debian/Ubuntu)
基本上就这些。加固不是一次性的动作,而是持续的过程——新服务上线要重审、新用户加入要重控、每次内核升级后要复核防护状态。不复杂但容易忽略。
