linux系统加固核心是缩小攻击面、限制权限、及时响应异常,重点在配置管理、服务精简、日志审计和更新机制;需关闭非必要服务与端口、启用防火墙、禁用ipv6(若不用)、禁止root远程登录、强制密码复杂度、清理长期未改密账户、启用auditd监控敏感操作。
linux系统加固不是装几个工具就完事,核心是缩小攻击面、限制权限、及时响应异常。重点在配置管理、服务精简、日志审计和更新机制,而不是堆砌安全软件。
关掉不用的服务和端口
默认安装常开启ssh、FTP、Telnet、http等服务,但多数场景只需SSH。运行ss -tuln或netstat -tuln查看监听端口,对照业务需求逐个确认是否必要。
- 用systemctl disable –now servicename彻底停用非必需服务(如cups、avahi-daemon、rpcbind)
- 防火墙必须启用:推荐ufw(桌面/轻量环境)或firewalld(centos/RHEL),仅放行明确需要的端口,例如只允许22/tcp且限定来源IP
- 禁用IPv6若未使用:在/etc/sysctl.conf中添加net.ipv6.conf.all.disable_ipv6 = 1并执行sysctl -p
严格控制用户与权限
root直接登录、弱密码、共享账户是常见风险点。加固从身份入口开始。
- 禁止root远程SSH登录:修改/etc/ssh/sshd_config中PermitRootLogin no,改用普通用户+sudo
- 强制密码复杂度:安装libpam-pwquality(debian/ubuntu)或pam_pwquality(RHEL/CentOS),配置/etc/pam.d/common-password,要求最小长度、大小写、数字、特殊字符
- 定期清理无用账户:cut -d: -f1 /etc/passwd | xargs -I{} sh -c ‘chage -l {} 2>/dev/NULL | grep “Password expires” | grep “never” || echo {}’可快速定位长期未改密账户
启用日志审计与实时监控
没记录=没发生;没分析=白记录。关键不是存多少日志,而是能快速定位异常行为。
- 开启auditd:监控敏感操作,如/etc/shadow读写、sudo命令执行、用户切换。规则示例:-w /etc/shadow -p wa -k shadow_access
- 集中日志建议用/var/log/secure、/var/log/auth.log、/var/log/messages保留90天以上
- 用faillog查暴力尝试,lastb看失败登录,配合脚本自动封IP(如结合fail2ban)
保持内核与软件最小化更新
不更新=留后门;盲目更新=引新坑。关键是建立可控、可回退的更新策略。
- 禁用自动升级(尤其生产环境):Ubuntu中关闭unattended-upgrades,RHEL中设yum-cron为notify-only模式
- 只更新安全补丁:Debian/Ubuntu用apt list –upgradable | grep security,RHEL/CentOS用yum update –security
- 内核保持最新稳定版,但避免频繁切换。升级前备份/boot并验证grub配置,确保旧内核仍可启动
基本上就这些。加固不是一劳永逸,而是形成“检查→收敛→验证→复盘”的闭环。每次上线新服务、新增用户、调整网络策略,都应回到这四个维度再过一遍。不复杂,但容易忽略。