系统安全及应用

Linux 是服务器、云主机、嵌入式设备的主流系统，Linux 系统安全 就是通过权限控制、服务管控、防火墙、日志审计、系统加固等手段，保证服务器不被入侵、不被提权、数据不泄露、服务不瘫痪。

下面按从基础到实战的逻辑，完整详细讲解。

---

一、Linux 安全核心思想

所有安全配置都围绕 4 个原则：

1. 最小权限：能不给的权限绝对不给
2. 最小服务：没用的服务一律关闭
3. 默认拒绝：防火墙、权限默认禁止，只开放需要的
4. 全程可审计：所有操作留日志，出问题能溯源

---

二、用户与身份安全（第一道防线）

Linux 是多用户多任务系统，用户管理是安全根基。

1. 用户分类

• root（超级用户）：权限最高，风险最大
• 系统用户：供服务运行（nginx、mysql、apache 等），禁止登录
• 普通用户 ：日常操作使用，通过 sudo 临时提权

2. 关键安全文件

• /etc/passwd：用户信息（无明文密码）
• /etc/shadow：密码加密存储，权限必须只读（非常重要）
• /etc/sudoers：sudo 授权配置文件

3. 安全做法

• 禁止 root 直接远程登录
• 密码必须复杂（长度≥12，字母 + 数字 + 符号）
• 普通用户只用 sudo 执行管理命令，不直接用 root
• 定期清理无用、离职用户

---

三、文件与目录权限安全（Linux 安全灵魂）

Linux 一切皆文件，权限错配是最常见漏洞。

1. 基础权限

• r 读 4、w 写 2、x 执行 1
• 归属：属主 u、属组 g、其他 o

2. 高危特殊权限

• SUID ：程序以文件属主（常为 root）权限运行 → 极易被提权
• SGID：继承目录属组
• SBIT：粘滞位，仅自己可删自己文件（如 /tmp）

3. 安全要点

• 系统配置文件（/etc/*）禁止普通用户写
• 网站目录、应用目录权限最小化
• 严禁给 777 权限（最危险）
• 用 chmod、chown、umask（默认权限掩码）管理

---

四、服务与端口安全（攻击主要入口）

攻击者 90% 是通过开放端口 + 漏洞服务入侵。

1. 危险服务（必须禁用）

• telnet（明文传输）
• ftp（无加密，弱口令泛滥）
• rsh/rlogin 等老旧远程工具
• 不用的数据库、中间件服务

2. 服务管理命令

systemctl stop 服务名    # 停止
systemctl disable 服务名 # 开机不自启
systemctl mask 服务名    # 彻底禁止启动

3. 端口查看

ss -tulnp    # 查看所有监听端口
netstat -tuln
lsof -i :端口

安全原则：只开放业务必需端口（22、80、443 等）。

---

五、防火墙安全（流量大门）

Linux 主流防火墙：firewalld （CentOS7+）、iptables（传统）。

1. 核心策略

• 默认拒绝所有入站
• 只放行：SSH、Web、DNS 等必要端口
• 限制来源 IP（只允许公司 / 办公 IP 访问）

2. firewalld 常用安全操作

systemctl start firewalld
firewall-cmd --permanent --add-port=22/tcp
firewall-cmd --permanent --add-service=http
firewall-cmd --reload

---

六、远程登录安全（SSH 是重中之重）

服务器几乎都用 SSH 远程管理，也是黑客主攻点。

1. SSH 最强安全配置（修改 /etc/ssh/sshd_config）

• 禁用 root 登录：PermitRootLogin no
• 修改默认 22 端口
• 禁用密码登录，改用密钥登录
• 限制允许登录的用户
• 开启登录日志

2. 防暴力破解

用 fail2ban：多次输错密码自动拉黑 IP。

---

七、日志与审计（出事能溯源）

没有日志，被黑了都不知道怎么黑的。

1. 重要日志位置

• /var/log/messages：系统全局日志
• /var/log/secure：登录、认证日志（最关键）
• /var/log/cron：定时任务日志
• journalctl：systemd 日志查看

2. 安全审计

• auditd：监控文件修改、用户提权、关键命令执行
• 所有操作可追溯、可回放

---

八、系统加固与防入侵

1. 系统更新

及时打补丁，修复内核、软件漏洞

yum update -y    # CentOS
apt update && apt upgrade -y # Ubuntu/Debian

2. 禁止危险行为

• 禁止普通用户关机、重启
• 限制系统资源（防 DoS 攻击）
• 禁用不必要的内核模块

3. 查杀后门 / 木马

• chkrootkit
• rkhunter用于检查是否被植入 root 后门。

4. 数据备份

• 定时备份网站、数据库、配置文件
• 异地备份，防范勒索病毒

---

九、Linux 安全实际应用场景

1. Web 服务器安全（Nginx/Apache）

• 运行在低权限用户
• 禁用目录浏览
• 开启 HTTPS
• WAF 防 SQL 注入、XSS

2. 数据库服务器安全

• 禁止外网直接访问
• 弱口令一律删除
• 严格库表权限

3. 企业生产环境

• 堡垒机统一登录
• 密钥统一管理
• 操作录像 + 审计
• 防火墙 + 安全组双层防护

4. 个人 Linux 主机

• 关闭不必要服务
• 启用防火墙
• 使用普通用户日常操作

---

十、Linux 安全一句话总结

Linux 安全 = 严控用户权限 + 最小文件权限 + 关闭无用服务 + 防火墙拦截 + SSH 加固 + 日志审计 + 定期更新备份 。这既是考试标准答案 ，也是企业真实运维标准。

---

如果你需要，我可以继续给你：

• 一套可直接复制的 Linux 安全加固脚本
• 考试用的 Linux 系统安全简答题 / 名词解释
• 企业级 Linux 安全巡检清单