0

0

Linux 安全加固与系统审计方法

舞夢輝影

舞夢輝影

发布时间:2026-02-23 15:31:03

|

693人浏览过

|

来源于php中文网

原创

关键在于精准定位异常登录主体、时间、来源及方式,而非仅检查日志存在;须结合lastlog、journalctl筛选认证事件、faillog分析锁定账户,并关闭permitrootlogin和passwordauthentication等高危默认配置,强化ssh安全。

linux 安全加固与系统审计方法

怎么快速发现系统里异常的登录行为

关键不是看日志有没有,而是看谁在什么时间、从哪台机器、用什么方式登进来。默认的 auth.logsecure 里混着大量正常信息,直接 grep 很容易漏掉横向移动痕迹。

实操建议:

  • 优先查 lastlog -u username 看每个用户最后登录时间,比翻日志快得多;
  • journalctl -u sshd --since "2 hours ago" | grep -E "(Accepted|Failed|Invalid)" 聚焦近期认证事件;
  • 注意 Failed password 后紧跟着的 Connection closed —— 这往往是暴力破解后断连,不是误输;
  • 如果启用了 PAM 模块(如 pam_faillock.so),要同步检查 /var/log/faillog,它记录的是被锁账户而非单次失败。

SSH 服务必须关掉哪些默认配置才不算裸奔

默认 SSH 配置对生产环境就是高危状态,尤其 PermitRootLogin yesPasswordAuthentication yes 这两项,等于把钥匙挂在门把手上。

实操建议:

  • 禁用 root 远程登录:把 /etc/ssh/sshd_config 中的 PermitRootLogin 改成 no,不是 without-password —— 后者仍允许密钥登录 root,风险没实质降低;
  • 强制密钥认证:设 PasswordAuthentication no,但改完必须先用另一终端验证新密钥能登进去,否则可能锁死;
  • 限制可登录用户:加 AllowUsers deploy@192.168.1.* alice@10.0.0.*,比靠防火墙更早拦截;
  • 别忽略 UsePAM yes 的影响:它会让 sshd 绕过部分配置项(比如 MaxAuthTries),若不用 PAM 认证链,建议设为 no 并自行配 MaxAuthTries 3

auditd 规则写不对,等于没开审计

很多人开了 auditd 却查不到关键操作,问题常出在规则粒度太粗或路径没覆盖符号链接目标。比如只监控 /etc/passwd,但攻击者用 ln -sf /tmp/hack /etc/passwd 再改,就完全绕过。

MyMap AI
MyMap AI

使用AI将想法转化为图表

下载

实操建议:

  • -w 监控文件时,加 -p wa(写 + 属性变更),否则改权限或属主不会触发;
  • 关键路径要用 -F path= 显式指定,例如 aureport -f -i | grep passwd 查到实际访问路径后,再写规则,避免监控软链源而漏掉目标;
  • 慎用 -a always,exit -F arch=b64 -S execve 全局抓命令执行——性能损耗大,且日志爆炸,应限定用户或目录,比如加 -F uid>=1000
  • auditctl -s 查当前规则是否生效,ausearch -m SYSCALL -ts recent 测试规则是否真捕获到动作,别只信配置文件写了。

sudo 日志为什么总看不到真实执行命令

默认 sudo 只记“谁执行了 sudo”,不记“执行了什么命令”,尤其遇到 sudo su -sudo bash 这种提权进 shell 的情况,后续所有操作都变成普通用户行为,审计链就断了。

实操建议:

  • /etc/sudoers 里加 Defaults log_outputDefaults iolog_dir=/var/log/sudo-io,开启命令输入输出记录;
  • 启用 Defaults syslog=local1 并在 /etc/rsyslog.conf 中配 local1.* /var/log/sudo.log,避免日志混进 messages 里难排查;
  • 禁止无限制的 ALL=(ALL) ALL,改用 ALL=(root) /usr/bin/systemctl, /bin/journalctl 这类白名单,减少提权后自由度;
  • 注意 sudo -isudo su - 的区别:前者走 sudoers 日志,后者绕过——所以策略里要显式拒绝 su 命令本身。

真正难的不是加规则,是让每条审计日志都能反向定位到具体人、具体终端、具体时间点。比如 auditd 记了 execve,但没关 pty 日志,就不知道是谁在哪个 tmux pane 里敲的;sudo 记了命令,但没配 log_output,就不知道参数是不是带了 --no-pager 绕过审计。这些断点一多,加固就只剩心理安慰。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1521

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

715

2023.06.29

linux find
linux find

find是linux命令,它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合,只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression,在命令列上第一个 - ( ) , ! 之前的部分为 path,之后的是 expression。还有指DOS 命令 find,Excel 函数 find等。本站专题提供linux find相关教程文章,还有相关

300

2023.06.30

linux修改文件名
linux修改文件名

本专题为大家提供linux修改文件名相关的文章,这些文章可以帮助用户快速轻松地完成文件名的修改工作,大家可以免费体验。

791

2023.07.05

linux系统安装教程
linux系统安装教程

linux系统是一种可以免费使用,自由传播,多用户、多任务、多线程、多CPU的操作系统。本专题提供linux系统安装教程相关的文章,大家可以免费体验。

584

2023.07.06

linux查看文件夹大小
linux查看文件夹大小

Linux是一种自由和开放源码的类Unix操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。linux怎么查看文件夹大小呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

563

2023.07.20

linux查看ip命令
linux查看ip命令

本专题为大家提供linux查看ip命令相关文章内容,感兴趣的朋友可以免费下载体验试试。

309

2023.07.20

linux查看cpu使用率
linux查看cpu使用率

在linux的系统维护中,可能需要经常查看cpu使用率,分析系统整体的运行情况。本专题为大家带来了linux查看cpu使用率的相关文章,感兴趣的朋友千万不要错过了。

396

2023.07.25

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

1127

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.6万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号