Linux 系统安全(纯知识点)
1. 用户与认证安全
- 禁止 root 直接登录,使用普通用户 + sudo 分权管理。
- 密码策略:长度、复杂度、定期更换、防止弱口令。
- 优先使用密钥登录,关闭密码登录。
- 限制登录失败次数,防止暴力破解。
- 定期清理无用、过期、特权账户。
2. 文件与权限安全
- 遵循最小权限原则:能不给就不给,能只读不写。
- 关键系统文件权限严格控制,防止篡改。
- SUID/SGID 风险:只保留必要程序,避免提权漏洞。
- 文件完整性校验:防止被植入木马、后门。
3. 进程与服务安全
- 最小化安装:不装不必要软件、服务。
- 关闭无用端口、无用进程、自启动服务。
- 限制进程权限,避免以 root 运行不必要服务。
- 防止恶意进程、后门、木马驻留。
4. 网络安全
- 防火墙控制入站 / 出站规则,只开放必需端口。
- 禁用危险网络协议,关闭 IP 重定向、源路由等。
- 防止 SYN 洪水、端口扫描、DDoS 攻击。
- 远程管理(SSH)加固:限制 IP、禁用版本显示。
5. 系统内核与底层安全
- 内核参数调优,提升抗攻击能力。
- 启用强制访问控制(SELinux/AppArmor)。
- 禁止加载不必要的内核模块,如 USB 存储。
- 防止提权、缓冲区溢出等内核漏洞。
6. 日志与审计
- 记录登录、操作、文件修改、特权命令。
- 日志不能被删除、篡改,保证可追溯。
- 异常行为监控:异地登录、频繁失败、异常提权。
7. 漏洞与补丁
- 定期更新系统与软件,修补已知漏洞。
- 不使用过期、废弃版本的系统和组件。
- 漏洞扫描,及时发现高危风险。
8. 安全整体思想(面试加分)
- 最小权限
- 最小攻击面
- 纵深防御
- 事前加固、事中监控、事后追溯