linux生产环境安全基线以“最小权限、可控访问、可审计、防篡改”为核心,涵盖账户认证、服务端口、文件权限、日志审计四方面规范,强调安全与可用性平衡。
Linux生产环境安全基线不是堆砌一堆加固命令,而是围绕“最小权限、可控访问、可审计、防篡改”四个核心建立的一套可持续运行的配置规范。关键在于平衡安全性与可用性,避免因过度限制影响业务稳定性。
账户与认证安全
生产系统必须杜绝默认账户和弱密码风险。禁用或重命名root以外的系统账户(如sync、shutdown、halt),确保仅保留必要服务账户;所有登录用户强制使用ssh密钥认证,禁用密码登录(PasswordAuthentication no);设置PAM策略限制失败登录次数(如auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900);定期清理无主文件(find / -nouser -o -nogroup -print)并核查sudo权限分配,禁止直接授予ALL=(ALL) NOPASSWD。
服务与端口最小化
只运行业务必需的服务,其余全部关闭。使用systemctl list-unit-files –type=service | grep enabled检查启用服务,逐个确认用途;禁用非必要网络服务(如rpcbind、avahi-daemon、cups);用ss -tuln验证监听端口,对非业务端口(如25、111、631)在防火墙层直接DROP;Web类服务统一走反向代理(nginx/apache),后端应用不直接暴露80/443以外端口;数据库仅绑定内网地址(如bind-address = 127.0.0.1或具体业务网段)。
文件系统与权限控制
关键目录需严格属主和权限控制:/etc/shadow必须为600且属root;/etc/passwd、/etc/group设为644;/boot挂载时添加noexec,nosuid,nodev选项;敏感配置文件(如SSH、数据库、中间件配置)统一归集到/etc/secconf/并设置ACL限制读取范围;启用磁盘配额防止日志或临时文件占满根分区;对日志目录(/var/log)启用chattr +a保证只能追加写入。
日志审计与持续监控
基础日志必须完整、防删改、集中留存。启用rsyslog远程转发(*.* @log-server:514),本地日志保留不少于180天;开启auditd,至少监控/etc/passwd、/etc/shadow、/etc/sudoers、关键二进制文件(/bin/su、/usr/bin/sudo)的读写执行事件;配置ausearch -m execve定期分析提权行为;部署轻量级HIDS(如Wazuh agent或OSSEC)做文件完整性校验,对/usr/bin、/sbin等路径做baseline快照;所有审计日志同步写入专用日志盘,禁止与系统盘混用。