Linux加固手册具体要怎么操作才安全？

Linux系统加固手册

Linux系统因其稳定性和灵活性被广泛应用于服务器、云计算及嵌入式设备中，但安全性问题也不容忽视，系统加固是保障Linux安全的核心环节，通过一系列配置和优化措施，降低系统被攻击的风险，本文将从用户管理、服务配置、文件系统、日志审计、网络防护及更新维护六个方面，详细介绍Linux系统加固的关键实践。

用户与权限管理

用户和权限管理是Linux安全的第一道防线,默认情况下，应禁用或删除不必要的账户，如测试账户、guest账户等，管理员账户应使用强密码，并启用双因素认证（2FA），对于需要sudo权限的用户，应严格限制其命令范围，避免赋予root权限。

关键操作：

1. 使用userdel删除无用账户，passwd -l锁定闲置账户。
2. 通过/etc/sudoers文件配置sudo规则，

   user ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl  

3. 定期检查/etc/passwd和/etc/shadow文件，确保无异常用户。

密码策略配置（通过/etc/login.defs）：
| 参数 | 建议值 | 说明 |
|——|——–|——|
| PASS_MAX_DAYS | 90 | 密码最大有效期 |
| PASS_MIN_DAYS | 7 | 密码最小修改间隔 |
| PASS_MIN_LEN | 8 | 密码最小长度 |

服务与进程优化

默认安装的Linux系统可能运行着不必要的服务,这些服务可能成为攻击入口，需关闭或禁用非核心服务，并定期检查进程列表。

关键操作：

1. 使用systemctl list-unit-files --state=enabled查看已启用服务，通过systemctl disable禁用不必要服务（如telnet、rsh）。
2. 限制SSH访问：修改/etc/ssh/sshd_config，禁用root登录（PermitRootLogin no），并使用密钥认证（PasswordAuthentication no）。
3. 使用ps aux和top命令监控异常进程，发现可疑进程立即终止。

服务加固建议：

• 替换inetd为xinetd,增强服务访问控制。
• 对必须运行的服务（如HTTP、数据库），配置防火墙规则限制来源IP。

文件系统与权限

文件系统权限的合理配置可防止未授权访问和提权攻击,需定期检查关键目录和文件的权限，并设置不可变位（immutable bit）保护重要文件。

关键操作：

1. 使用chmod和chown调整权限，

   chmod 600 /etc/shadow  
   chmod 700 /root  

2. 对关键文件（如/etc/passwd、/etc/gshadow）设置不可变属性：

   chattr +i /etc/shadow  

3. 使用find命令扫描异常权限文件：

   find / -type f -perm -o+w 2>/dev/null  

重要目录权限参考：
| 目录 | 建议权限 | 说明 |
|——|———-|——|
| /etc | 755 | 系统配置文件目录 |
| /var/log | 755 | 日志文件目录 |
| /tmp | 1777 | 临时文件目录，sticky位 |

日志与审计

日志审计是追踪安全事件和响应攻击的重要手段,Linux系统应开启详细日志记录，并集中管理日志文件。

关键操作：

1. 启用rsyslog或syslog-ng服务，配置日志级别（如authpriv.*记录认证日志）。
2. 安装并配置auditd服务,监控关键文件访问和命令执行：

   auditctl -a exit,always -S all -F dir=/etc  

3. 定期分析日志文件,使用grep过滤异常信息（如Failed password）。

日志轮转配置（/etc/logrotate.conf）：

/var/log/*.log {  
    daily  
    missingok  
    rotate 7  
    compress  
    delaycompress  
    notifempty  
}  

网络防护

网络层面的加固可防止外部攻击和未授权访问,需配置防火墙、禁用不必要网络协议，并启用IPSec等加密机制。

关键操作：

1. 使用ufw（Ubuntu）或firewalld（CentOS）配置防火墙规则：

   ufw default deny incoming  
   ufw allow ssh  
   ufw enable  

2. 禁用IPv6（如不需要）：编辑/etc/sysctl.conf，添加net.ipv6.conf.all.disable_ipv6=1。
3. 启用TCP Wrappers（/etc/hosts.allow和/etc/hosts.deny）限制服务访问。

网络内核参数优化：

net.ipv4.ip_forward = 0  
net.ipv4.conf.all.send_redirects = 0  
net.ipv4.conf.default.accept_source_route = 0  

更新与维护

及时更新系统和软件包是修复漏洞的基础,需建立自动化更新机制，并定期检查系统补丁。

关键操作：

1. 使用apt（Debian/Ubuntu）或yum（CentOS）定期更新：

   apt update && apt upgrade -y  

2. 配置自动更新（如unattended-upgrades）：

   dpkg-reconfigure -plow unattended-upgrades  

3. 使用lynis或rkhunter等工具进行安全审计：

   lynis audit system  

Linux系统加固是一个持续的过程,需结合系统环境灵活调整配置，通过严格的用户管理、服务优化、文件权限控制、日志审计、网络防护和定期更新，可显著提升系统安全性，管理员应建立安全基线，并定期复查加固措施，确保系统长期稳定运行。