linux系统加固需围绕“最小权限、及时更新、有效监控”三大核心快速落地:清理冗余账户并限制sudo权限;ssh禁用密码登录、强制密钥认证并修改端口;防火墙默认拒绝、仅开放必要端口;启用日志轮转与自动安全更新。
linux系统加固不是堆砌安全工具,而是围绕“最小权限、及时更新、有效监控”三个核心,在高频使用场景中快速落地关键措施。以下按实际运维中最常接触的环节展开,每项都可立即执行。
用户与权限:砍掉多余账户,收紧sudo权限
默认安装常带测试账户或弱密码用户,这是入侵第一跳板。先清理再加固:
- 用 sudo awk -F: ‘$3==0 {print $1}’ /etc/passwd 检查是否有多余root级用户(只应有root)
- 禁用不用的系统账户:sudo usermod -L username(加-L锁账户,-s /bin/false也可)
- 限制sudo范围:编辑/etc/sudoers(务必用visudo),避免全命令授权;例如只允重启nginx:%webadmin ALL=(ALL) /bin/systemctl restart nginx
SSH服务:拒绝密码登录,强制密钥+端口偏移
SSH是外网入口,90%暴力破解针对它。关掉密码登录是最简单有效的一步:
- 修改/etc/ssh/sshd_config:PasswordAuthentication no、PermitRootLogin no、Port 2222(改非标端口防扫描)
- 生成并部署密钥对:ssh-keygen -t ed25519 → ssh-copy-id -p 2222 user@host
- 重启生效:sudo systemctl restart sshd(注意保留当前会话,测试新连接成功后再断开)
防火墙与服务:默认拒绝,只放行必需端口
别信“内网很安全”,本地提权后横向移动很常见。ufw足够轻量且直观:
- 启用ufw并设默认策略:sudo ufw default deny incoming、sudo ufw default allow outgoing
- 只开业务端口,例如Web服务:sudo ufw allow 80/tcp、sudo ufw allow 443/tcp、sudo ufw allow 2222/tcp(对应SSH新端口)
- 启用:sudo ufw enable,用sudo ufw status verbose确认规则已加载
日志与更新:自动轮转+关键服务每日检查
加固不是一劳永逸,得让异常留痕、漏洞不堆积:
- 确保日志轮转正常:ls -l /var/log/*.log* 查看是否按天分割;检查/etc/logrotate.d/rsyslog配置
- 设置自动安全更新(ubuntu/debian):sudo apt install unattended-upgrades,启用:sudo dpkg-reconfigure -plow unattended-upgrades
- 每周手动跑一次检查:sudo apt list –upgradable(Debian系)或sudo yum check-update(RHEL系)
基本上就这些。不复杂但容易忽略——比如改完SSH端口忘了在防火墙放行,或sudo限制太松导致权限蔓延。每次操作后花30秒验证效果,比事后救火省十倍力气。