Linux系统加固的核心在于构建“纵深防御”体系,通过最小化权限、减少攻击面、强化访问控制以及建立完善的审计机制,将系统从默认的“易用状态”转变为“高安全状态”,这一过程并非单一操作的堆砌,而是需要遵循最小权限原则和默认拒绝策略,从账号管理、网络配置、服务管控、内核参数到日志审计进行全方位的系统性优化,从而有效抵御外部入侵、提权攻击及内部违规操作。
账号安全与身份认证加固
账号安全是系统防御的第一道防线,绝大多数的入侵行为始于弱口令或权限管理不当,加固的首要任务是清理不必要的账号,确保“僵尸账号”被彻底删除,并严格限制超级用户的使用。
禁止Root直接远程登录是必须执行的操作,攻击者一旦获取Root密码,系统将完全沦陷,应修改/etc/ssh/sshd_config文件,设置PermitRootLogin no,强制管理员先以普通身份登录,再通过sudo提权,必须强化密码策略,在/etc/login.defs中配置PASS_MAX_DAYS(密码最大有效期)、PASS_MIN_LEN(最小长度)等参数,并启用PAM(Pluggable Authentication Modules)模块,在/etc/pam.d/system-auth中植入pam_cracklib.so或pam_pwquality.so,强制要求密码包含大小写字母、数字及特殊符号,并拒绝使用常见字典词汇。
严格控制Sudo权限至关重要,避免直接给普通用户授予全部权限,应使用visudo命令编辑配置,细化命令执行范围,仅允许特定用户执行重启服务或查看日志的命令,而非赋予其所有管理权限,对于关键服务器,建议多因素认证(MFA),结合Google Authenticator等动态令牌,即使密码泄露,攻击者也无法通过单一验证登录系统。
网络服务与边界防御优化
网络层面的加固重点在于减少暴露面和强化通信加密,SSH服务是远程管理的核心通道,也是被扫描和攻击最频繁的目标,除了禁止Root登录外,修改默认SSH端口能有效规避自动化脚字的暴力破解,将端口从22改为高位随机端口(如22222),并配置/etc/hosts.allow和/etc/hosts.deny,利用TCP Wrappers仅允许受信任的IP地址访问SSH服务,实现网络层的访问控制。
防火墙策略应遵循“默认拒绝,显式允许”的原则,使用iptables、nftables或firewalld清空所有默认规则,仅开放业务必需的端口(如80/443用于Web服务),并限制来源IP,对于非Web服务,建议配置源地址锁定,例如数据库端口3306仅允许Web服务器的IP地址连接。
在通信安全方面,强制使用加密协议,禁用Telnet、FTP等明文传输协议,全面替换为SSH、SFTP或VSFTPD over SSL/TLS,在SSH配置中,禁用弱加密算法,将Ciphers和MACs参数限制为AES-GCM和SHA-2系列的高强度算法,防止降级攻击。
文件系统与内核级安全防护
操作系统底层的加固往往被忽视,但却是防止提权攻击的关键。文件权限控制是基础,关键系统目录如/bin、/sbin、/etc应设置为仅Root可写,防止普通用户植入恶意二进制文件,对于重要配置文件,可使用chattr命令设置不可变属性(Immutable Attribute),例如执行chattr +i /etc/passwd,即使Root用户也无法直接删除或修改该文件,除非先解除属性,从而防止篡改。
强制访问控制(MAC)提供了比传统DAC(自主访问控制)更强的保护,启用SELinux(Security-Enhanced Linux)或AppArmor,通过预定义的安全策略限制进程的访问范围,虽然配置较为复杂,建议在Enforcing模式下运行,即使服务被攻破,攻击者也无法突破策略限制访问系统其他资源。
内核参数调优能有效防范网络攻击,通过编辑/etc/sysctl.conf,开启Syn Cookies保护(net.ipv4.tcp_syncookies=1)以防御SYN Flood攻击;关闭ICMP重定向(net.ipv4.conf.all.accept_redirects=0)防止路由欺骗;开启源地址验证(net.ipv4.conf.all.rp_filter=1)抵御IP欺骗攻击,修改后执行sysctl -p使配置立即生效。
日志审计与持续监控
没有审计的安全体系是不完整的。集中化日志管理是溯源的关键,确保rsyslog或syslog-ng服务正常运行,并将关键日志(如/var/log/secure、/var/log/messages)实时转发到远程日志服务器,防止攻击者入侵后清除本地痕迹。
启用Linux Auditd系统提供更细粒度的审计,通过配置/etc/audit/auditd.conf和/etc/audit/rules.d/audit.rules,监控对敏感文件的访问、权限变更以及特权命令的使用,监控/etc/passwd的写入操作或监控/usr/bin/sudo的执行,一旦发生异常,审计日志能提供完整的证据链。
部署入侵检测系统(IDS)如AIDE(Advanced Intrusion Detection Environment),对文件完整性进行实时校验,AIDE通过建立文件指纹数据库,定期比对文件哈希值,能迅速发现Webshell后门或被篡改的系统核心文件。
相关问答
Q1:Linux系统加固中,SELinux处于Enforcing模式导致业务无法正常运行,应该如何处理?
A: 遇到这种情况,切勿直接关闭SELinux,首先应使用audit.log日志分析具体的拒绝原因,利用audit2allow工具生成自定义的策略模块(.te文件),通过semodule命令加载该模块,从而允许业务所需的特定操作,同时保持SELinux开启状态,既解决了业务兼容性问题,又保留了安全防护能力。
Q2:如何验证Linux系统的加固效果是否达标?
A: 建议使用专业的基线扫描工具如Lynis或OpenSCAP进行自动化检测,这些工具能根据CIS Benchmark等国际标准,扫描账号策略、文件权限、网络配置等数百项指标,并生成详细的安全评分和修复建议,可以结合Nessus等漏洞扫描器进行端口和服务的验证。
互动
您的Linux服务器目前是否已经禁用了Root的SSH远程登录?在实施系统加固的过程中,您遇到过哪些影响业务正常运行的问题?欢迎在评论区分享您的实战经验与解决方案。
