linux服务器安全检查是持续过程,需定期核查账户权限、监听服务、软件更新及日志文件权限。重点包括:排查多余root账户和异常登录;关闭非必要端口与服务;及时更新系统组件;确保日志和配置文件权限严格。
Linux 服务器安全检查不是一次性的任务,而是持续的过程。重点在于及时发现异常、收紧不必要的权限、更新关键组件,并验证防护措施是否真正生效。
检查登录与账户安全
攻击者常从弱口令或遗留账户入手。先查看是否有可疑用户:
sudo cat /etc/passwd | awk -F: ‘$3 == 0 {print $1}’ —— 检查是否有多余的 root 权限账户。
再查最近登录记录:
last -n 20 或 journalctl -u sshd –since “1 week ago” | grep “Accepted”,确认登录 IP 是否可信。
建议禁用 root 远程 SSH 登录,改用普通用户 + sudo;对长期不用的账户执行 sudo userdel -r username 彻底删除。
核查运行服务与端口暴露
只开放业务必需的端口。用以下命令快速梳理:
sudo ss -tuln 或 sudo netstat -tuln 查看监听端口;
sudo systemctl list-units –type=service –state=running 列出运行中的服务。
重点关注非标准端口(如 8080、3333)上运行的未知服务。对不需要的服务,停用并禁启:
• sudo systemctl stop servicename
• sudo systemctl disable servicename
验证软件更新与漏洞状态
未打补丁的内核、OpenSSL、SSH 或 Web 服务组件是高危入口。按发行版执行更新:
• ubuntu/debian:sudo apt update && sudo apt upgrade -y
• centos/RHEL 7:sudo yum update -y
• CentOS/RHEL 8+:sudo dnf update -y
更新后重启关键服务(如 sshd、nginx),必要时重启系统以加载新内核。可配合 sudo unattended-upgrades –dry-run(Debian系)或 needs-restarting -r(RHEL系)确认是否需重启。
审查关键日志与文件权限
日志本身若被篡改或权限过宽,会掩盖入侵痕迹。检查:
• ls -l /var/log/auth.log /var/log/secure /var/log/messages —— 确保属主为 root:root,权限为 600 或 640;
• sudo journalctl –disk-usage 确认日志未被清空或轮转异常;
• sudo find /etc -type f -perm /o+w 2>/dev/NULL 找出其他用户可写的配置文件(如 /etc/passwd、/etc/shadow 绝对不能有 o+w)。
对异常权限项,用 sudo chmod go-w filename 修复,再溯源为何出现该权限。