、账号与认证安全(第一道防线)
1. 禁用 root 直接 SSH 登录(必做)
bash
运行
# 编辑SSH配置
vi /etc/ssh/sshd_config
# 修改/添加
PermitRootLogin no # 禁止root登录
PasswordAuthentication no # 禁用密码登录(仅密钥)
PubkeyAuthentication yes # 启用密钥认证
MaxAuthTries 3 # 最大尝试次数
ClientAliveInterval 300 # 超时断开
AllowUsers admin deploy # 仅允许指定用户
# 重启服务
systemctl restart sshd2. 强密码与密钥双因素
- 密码策略(PAM):长度≥12、大小写 + 数字 + 特殊字符、定期更换、防重用。
- 密钥登录(推荐):
bash
运行
# 客户端生成Ed25519密钥(比RSA更安全)
ssh-keygen -t ed25519 -C "user@host"
# 上传公钥到服务器
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server -p 22223. 账号管理
- 清理冗余账号:删除 / 锁定无用账号(如 games、news)。
bash
运行
# 锁定账号
usermod -L username
# 查看非登录账号
grep "/sbin/nologin$" /etc/passwd- sudo 权限最小化:仅授权必要命令,禁止 NOPASSWD。
bash
运行
visudo
# 示例:admin仅允许重启nginx
admin ALL=(ALL) /usr/bin/systemctl restart nginx三、网络安全(边界防护)
1. 防火墙(必开)
- UFW(Ubuntu):
bash
运行
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp # SSH自定义端口
ufw allow 80/tcp # Web
ufw enable
ufw status- Firewalld(RHEL/CentOS):
bash
运行
firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload2. 关闭不必要服务与端口
bash
运行
# 查看监听端口
ss -tuln
# 停止并禁用无用服务(如telnet、rsh、ftp)
systemctl stop telnet.socket
systemctl disable telnet.socket3. 防暴力破解(Fail2ban)
bash
运行
# 安装
apt install fail2ban # Debian/Ubuntu
yum install fail2ban # RHEL/CentOS
# 配置SSH防护
vi /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400 # 封禁1天
# 启动
systemctl enable --now fail2ban四、系统与内核加固
1. 内核参数(sysctl.conf)
bash
运行
vi /etc/sysctl.conf
# 防SYN洪水
net.ipv4.tcp_syncookies = 1
# 防IP欺骗
net.ipv4.conf.all.rp_filter = 1
# 禁止ICMP重定向
net.ipv4.conf.all.accept_redirects = 0
# 地址空间随机化(防缓冲区溢出)
kernel.randomize_va_space = 2
# 生效
sysctl -p2. 强制访问控制(MAC)
- SELinux(RHEL/CentOS,生产推荐 enforcing):
bash
运行
# 查看状态
sestatus
# 启用
vi /etc/selinux/config
SELINUX=enforcing- AppArmor(Ubuntu/Debian):更易用的路径级 MAC。
3. 禁用不必要模块(如 USB)
bash
运行
echo "install usb-storage /bin/true" > /etc/modprobe.d/usb-storage.conf五、文件与权限安全
1. 关键文件权限加固
bash
运行
# 密码文件权限
chmod 600 /etc/shadow
chmod 644 /etc/passwd
# 锁定关键文件防篡改
chattr +i /etc/passwd /etc/shadow /etc/group2. 清理 SUID/SGID 高危文件
bash
运行
# 查找所有SUID文件
find / -perm -4000 -type f 2>/dev/null
# 移除不必要SUID
chmod -s /path/to/file3. 文件完整性监控(AIDE)
bash
运行
# 安装
apt install aide
# 初始化数据库
aideinit
# 定期检查
aide --check六、日志与审计(可观测)
1. 启用系统审计(auditd)
bash
运行
systemctl enable --now auditd
# 记录所有sudo操作
auditctl -w /usr/bin/sudo -p rwxa -k sudo_actions
# 查看审计日志
ausearch -k sudo_actions2. 日志集中与监控
- 确保
rsyslog运行,日志持久化到/var/log/。 - 推荐:ELK/ Grafana Loki 集中分析,告警异常登录 / 提权。
七、漏洞与补丁管理
- 定期更新:
bash
运行
# Debian/Ubuntu
apt update && apt upgrade -y
# RHEL/CentOS
yum update -y- 自动安全更新 (测试环境):
unattended-upgrades/yum-cron。 - 漏洞扫描 :
lynis、OpenVAS定期扫描。
八、入侵检测与应急
- Rootkit 检测 :
rkhunter、chkrootkit。
bash
运行
rkhunter --update
rkhunter --check- 网络 IDS :部署
Suricata/Snort检测攻击特征。 - 备份策略:定期全量 + 增量备份,离线存储。
九、安全加固速查清单(上线必做)
- ✅ 禁用 root SSH,改用密钥 + 自定义端口
- ✅ 启用防火墙,仅放行业务端口
- ✅ 安装 Fail2ban 防暴力破解
- ✅ 配置强密码与 sudo 最小权限
- ✅ 内核参数加固(sysctl)
- ✅ 启用 SELinux/AppArmor
- ✅ 关键文件权限锁定
- ✅ 开启 auditd 审计与日志监控
- ✅ 定期系统更新与漏洞扫描
- ✅ 关闭无用服务与端口
十、安全工具推荐
表格
| 类别 | 工具 | 用途 |
|---|---|---|
| 防火墙 | ufw/firewalld/nftables | 网络访问控制 |
| 入侵防护 | fail2ban | 暴力破解拦截 |
| 审计 | auditd | 系统操作审计 |
| 完整性 | AIDE | 文件篡改检测 |
| 恶意软件 | rkhunter/chkrootkit | Rootkit 检测 |
| 漏洞扫描 | lynis | 系统安全基线扫描 |
总结
Linux 安全是持续过程 ,需遵循最小权限 + 纵深防御,从账号、网络、系统、文件、日志、补丁多层加固,并配合监控与应急响应。先按速查清单完成基线加固,再逐步完善自动化与合规体系。