Linux安全防护：全方位服务安全配置指南

引言

在网络安全威胁日益严峻的今天，Linux服务就像需要重重保护的"数字城堡"🏰！本文将为你呈现Linux服务安全加固的完整方案，从系统底层到应用层，从网络防护到日志监控。无论你是运维工程师还是系统管理员，掌握这些安全加固技巧都能让你的Linux系统固若金汤！🔒 让我们一起构筑坚不可摧的系统防线吧~ 🚀
服务安全系统加固网络防护应用安全监控审计

一、系统基础加固

1.1 最小化安装原则

bash 复制代码

# 查看已安装软件包（RHEL/CentOS）
sudo yum list installed

# 查看已安装软件包（Debian/Ubuntu）
sudo dpkg --list

# 移除不必要的软件包
sudo yum remove <package-name>        # RHEL/CentOS
sudo apt purge <package-name>         # Debian/Ubuntu

1.2 系统更新策略

bash 复制代码

# 启用自动安全更新（Debian/Ubuntu）
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

# 启用自动更新（RHEL/CentOS 8+）
sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer

二、SSH 服务加固

2.1 基本安全配置

bash 复制代码

sudo nano /etc/ssh/sshd_config

# 禁用root登录
PermitRootLogin no

# 使用密钥认证
PasswordAuthentication no

# 限制用户登录
AllowUsers admin user1 user2

# 修改默认端口
Port 22222

# 限制最大尝试次数
MaxAuthTries 3

# 配置完成后重启服务
sudo systemctl restart sshd

2.2 高级安全配置

bash 复制代码

# 使用Fail2Ban防止暴力破解
sudo apt install fail2ban    # Debian/Ubuntu
sudo yum install fail2ban    # RHEL/CentOS

# 配置Fail2Ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

三、Web 服务加固

3.1 Apache 安全配置

bash 复制代码

sudo nano /etc/apache2/apache2.conf

# 关闭服务器签名
ServerTokens Prod
ServerSignature Off

# 限制目录权限
<Directory /var/www/html>
    Options -Indexes
    AllowOverride None
</Directory>

# 禁用不必要模块
sudo a2dismod autoindex cgi

3.2 Nginx 安全配置

bash 复制代码

sudo nano /etc/nginx/nginx.conf

# 隐藏版本信息
server_tokens off;

# 限制HTTP方法
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
}

# 配置安全头
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

四、数据库服务加固

4.1 MySQL/MariaDB 安全

bash 复制代码

# 运行安全安装脚本
sudo mysql_secure_installation

# 安全配置建议
sudo nano /etc/mysql/my.cnf

[mysqld]
# 禁用本地文件读取
local-infile=0

# 禁用符号链接
symbolic-links=0

# 启用查询日志
general_log_file = /var/log/mysql/mysql.log
general_log = 1

4.2 PostgreSQL 安全

bash 复制代码

sudo nano /etc/postgresql/12/main/pg_hba.conf

# 限制连接方式
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             192.168.1.0/24          md5
host    all             all             ::1/128                 reject

五、防火墙配置

5.1 UFW 简单防火墙

bash 复制代码

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22222/tcp   # SSH自定义端口
sudo ufw allow 80/tcp      # HTTP
sudo ufw allow 443/tcp     # HTTPS

5.2 firewalld 高级配置

bash 复制代码

sudo firewall-cmd --permanent --new-zone=restricted
sudo firewall-cmd --permanent --zone=restricted --add-source=192.168.1.0/24
sudo firewall-cmd --permanent --zone=restricted --add-service=ssh
sudo firewall-cmd --reload

六、文件系统安全

6.1 关键目录权限

bash 复制代码

# 设置关键目录权限
sudo chmod 700 /etc/cron.d /etc/cron.daily /etc/cron.hourly
sudo chmod 600 /etc/crontab /etc/cron.deny
sudo chmod 750 /etc/sudoers.d

# 设置不可变属性
sudo chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow

6.2 文件完整性检查

bash 复制代码

# 安装AIDE（高级入侵检测环境）
sudo apt install aide    # Debian/Ubuntu
sudo yum install aide    # RHEL/CentOS

# 初始化数据库
sudo aideinit

# 手动检查
sudo aide --check

七、日志与监控

7.1 集中日志管理

bash 复制代码

# 配置rsyslog发送日志到远程服务器
sudo nano /etc/rsyslog.conf

*.* @192.168.1.100:514

# 重启服务
sudo systemctl restart rsyslog

7.2 实时入侵检测

bash 复制代码

# 安装OSSEC HIDS
sudo apt install ossec-hids-server   # Debian/Ubuntu
sudo yum install ossec-hids          # RHEL/CentOS

# 基本配置
sudo nano /var/ossec/etc/ossec.conf

八、内核参数加固

8.1 sysctl 安全配置

bash 复制代码

sudo nano /etc/sysctl.conf

# 禁用IP转发
net.ipv4.ip_forward = 0

# 防止SYN洪水攻击
net.ipv4.tcp_syncookies = 1

# 禁用ICMP重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# 应用配置
sudo sysctl -p

九、服务账户安全

9.1 限制服务账户

bash 复制代码

# 创建无登录权限的系统账户
sudo useradd -r -s /bin/false serviceuser

# 检查无密码账户
sudo awk -F: '($2 == "") {print}' /etc/shadow

# 检查UID为0的账户
sudo awk -F: '($3 == 0) {print}' /etc/passwd

十、定期安全审计

10.1 使用Lynis审计

bash 复制代码

# 安装Lynis
sudo apt install lynis    # Debian/Ubuntu
sudo yum install lynis    # RHEL/CentOS

# 运行审计
sudo lynis audit system

10.2 OpenSCAP合规检查

bash 复制代码

# 安装OpenSCAP
sudo apt install libopenscap8    # Debian/Ubuntu
sudo yum install openscap-scanner # RHEL/CentOS

# 运行扫描
sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results scan.xml /usr/share/xml/scap/ssg/content/ssg-ubuntu2204-ds.xml

总结 🎯

通过本文的系统学习，我们已经构建了Linux服务安全的完整防护体系：

系统加固：从内核到文件系统的全方位防护 🏗️
服务安全：SSH/Web/DB等关键服务加固 🔧
网络防护：防火墙与网络隔离策略 🌐
持续监控：日志分析与实时告警系统 🚨

安全黄金法则：

最小权限原则：服务按需分配权限 ✋
纵深防御：多层防护体系构建 🛡️
持续更新：定期打补丁和升级 🔄

记住：安全不是一次性的工作，而是持续的过程！ 现在就去加固你的Linux系统吧！🐧⚔️

PS：如果你在学习过程中遇到问题，别慌！欢迎在评论区留言，我会尽力帮你解决！😄