Linux安全加固指南

Linux安全加固指南

企业级Linux安全加固完全手册

概述

Linux系统安全加固是企业IT安全的核心环节。本文提供从基础到进阶的实用加固方案，涵盖系统更新、权限管理、网络防护等关键领域，助您构建高安全性的Linux环境。

核心加固措施

1. 系统基础安全

• 系统更新

  # Ubuntu/Debian  
  sudo apt update && sudo apt upgrade -y  
  # CentOS/RHEL  
  sudo yum update -y  
  

• 禁用危险服务

  systemctl list-units --type=service --state=running  # 查看运行服务  
  sudo systemctl disable telnet rsh ftp tftp           # 禁用高风险服务  
  

2. 用户权限管理

• 密码策略强化

  # /etc/security/pwquality.conf  
  minlen = 12      # 最小12位  
  minclass = 3     # 至少3类字符  
  maxrepeat = 2    # 禁止连续重复  
  

• 账户锁定机制

  # /etc/pam.d/common-auth 添加：  
  auth required pam_tally2.so deny=5 unlock_time=900  
  

3. SSH安全配置

# /etc/ssh/sshd_config 关键配置：  
Port 2222                      # 修改默认端口  
PermitRootLogin no             # 禁止root登录  
PasswordAuthentication no      # 强制密钥认证  
MaxAuthTries 3                 # 限制尝试次数  
ClientAliveInterval 300        # 会话超时控制  

4. 防火墙配置

• UFW防火墙（推荐）

  sudo ufw default deny incoming  
  sudo ufw allow 2222/tcp       # 放行SSH自定义端口  
  sudo ufw enable  
  

• IPTables基础规则

  iptables -P INPUT DROP        # 默认拒绝入站  
  iptables -A INPUT -p tcp --dport 2222 -j ACCEPT  # 放行SSH  
  

5. 入侵检测与日志

• Fail2Ban防护

  # /etc/fail2ban/jail.local  
  [sshd]  
  enabled = true  
  port = 2222  
  maxretry = 3  
  

• 关键文件监控

  sudo chmod 600 /etc/shadow    # 敏感文件权限控制  
  sudo aideinit                 # 文件完整性检查  
  

自动化与应急响应

定期维护脚本

# 每日安全更新任务（Crontab）  
0 2 * * * apt update && apt upgrade -y  

入侵应急流程

1. 断网隔离：立即封锁网络连接
2. 日志备份：保存/var/log​至安全位置
3. 取证分析：检查异常进程、网络连接及文件修改

总结

• ✅ 持续更新：定期修补系统漏洞
• ✅ 最小权限：严格限制用户与服务权限
• ✅ 纵深防御：结合防火墙、SSH加固、入侵检测多层防护
• ✅ 监控审计：通过日志与AIDE实现动态安全监控

提示：安全加固是持续过程，建议每季度全面审计一次系统配置。