Linux系统加固围绕“最小权限、及时更新、有效监控、纵深防御”四原则系统性收缩攻击面,涵盖账户认证强化、服务端口精简、文件权限加固及日志审计响应四大环节,强调可验证、可回溯、可持续的闭环实践。
Linux系统加固不是堆砌安全工具,而是围绕“最小权限、及时更新、有效监控、纵深防御”四个核心原则,系统性地收缩攻击面。关键不在于一步到位,而在于每一步都可验证、可回溯、可持续。
一、基础账户与认证强化
默认账户和弱密码是入侵的第一突破口。必须从登录入口开始收紧:
- 禁用或删除无用系统账户(如games、lp、sync),保留仅root和必要运维账号
- 强制密码复杂度:编辑/etc/pam.d/common-password,加入password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
- 限制root远程登录:在/etc/ssh/sshd_config中设PermitRootLogin no,改用普通用户+sudo方式管理
- 启用SSH密钥登录并禁用密码登录:PubkeyAuthentication yes + PasswordAuthentication no,重启sshd生效
二、服务与端口精简控制
每个运行的服务都是潜在风险点。目标是“只开必需的,关掉所有默认多余的”:
- 列出当前监听端口:ss -tuln 或 netstat -tuln,重点关注非业务端口(如25、111、631)
- 停止并禁用无关服务:systemctl stop avahi-daemon cups rpcbind,再执行systemctl disable ...
- 配置防火墙(推荐nftables):默认策略设为DROP,仅放行业务所需端口(如80/443/22),禁止全网段SSH(如限制ip saddr 192.168.10.0/24 tcp dport 22 accept)
- 检查开机自启项:systemctl list-unit-files --state=enabled,逐个确认必要性
三、文件系统与权限加固
防止提权和后门驻留,需严格约束关键路径的可写性和执行权限:
- 设置关键目录不可执行(noexec)和不可写(nosuid、nodev):修改/etc/fstab,例如/tmp /var/tmp /dev/shm挂载选项追加noexec,nosuid,nodev,然后mount -o remount ...
- 查找并修复高危权限文件:find / -xdev -type f \( -perm -4000 -o -perm -2000 \) 2>/dev/null,只保留/bin/ping、/usr/bin/sudo等确需SUID的程序
- 锁定关键系统文件:chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow(操作前确保有应急恢复手段)
- 启用SELinux或AppArmor:CentOS/RHEL默认启用SELinux,检查状态sestatus;Ubuntu建议启用AppArmor:aa-status,并加载对应profile
四、日志审计与异常响应闭环
没有日志的安全等于没安全。加固必须包含可观测性和快速响应能力:
- 集中收集关键日志:配置rsyslog或journalctl --since "2 hours ago",将auth.log、secure、messages、audit.log同步至独立日志服务器
- 启用内核审计规则:编辑/etc/audit/rules.d/custom.rules,加入监控敏感操作,例如:-w /etc/passwd -p wa -k identity、-a always,exit -F arch=b64 -S execve -k execution
- 安装轻量级入侵检测(如aide):初始化数据库aide --init,重命名生成库,定期校验aide --check
- 配置登录失败告警:用faillog -a查看失败记录,结合swatch或自定义脚本,对5分钟内超3次失败登录触发邮件/企业微信通知
基本上就这些。真正有效的Linux加固不是一次性的“打补丁”,而是把上述动作变成部署模板、CI/CD检查项和定期巡检清单。每次系统上线前跑一遍加固脚本,每月做一次配置比对,安全才能真正落地。
