Linux主机加固具体步骤有哪些？新手如何快速上手？

Linux主机加固的核心目标

Linux主机加固的核心目标是提升系统的安全性、稳定性和抗攻击能力，通过一系列配置优化和策略实施，减少潜在漏洞和入侵风险，其本质是从“最小权限原则”出发，构建纵深防御体系，确保系统在复杂网络环境中能够抵御恶意攻击、数据泄露及服务中断等威胁。

系统基础安全配置

账号与权限管理

• 精简账号：禁用或删除默认无用账号（如ftp、mail、uucp等），通过userdel -r彻底清理残留数据；
• 特权账号管控：限制root远程登录，在/etc/ssh/sshd_config中设置PermitRootLogin no，并启用密钥认证（PasswordAuthentication no）；
• 密码策略：通过/etc/login.defs和/etc/pam.d/common-password强制复杂密码（长度≥12位，包含大小写、数字及特殊字符），并定期（如90天）强制修改；
• sudo授权：为管理用户配置sudo权限，避免直接使用root，通过/etc/sudoers文件精细化控制命令执行权限。

服务与端口管理

• 关闭高危服务：通过systemctl list-unit-files --type=service识别并停止不必要的服务（如telnet、rsh、rpcbind等），使用systemctl disable禁止开机自启；
• 端口最小化：通过netstat -tulnp或ss -tulnp检查监听端口，仅开放业务必需端口（如Web服务的80/443、SSH的22），其余端口通过iptables或firewalld禁用；
• 协议优化：禁用不安全协议（如SSHv1、Telnet、FTP），强制使用SSHv2、SFTP等加密协议。

系统补丁与漏洞管理

及时更新系统

• 基于包管理器的更新：对于Debian/Ubuntu系统，定期执行apt update && apt upgrade -y；对于CentOS/RHEL系统，使用yum update -y或dnf update -y，确保内核及软件包为最新稳定版本；
• 安全补丁优先：关注官方安全公告（如CVE漏洞），优先修复高危漏洞，可通过yum history list或apt list --upgradable跟踪可更新补丁。

内核参数加固

• 调整/etc/sysctl.conf增强系统安全性，
  • 禁用IP转发：net.ipv4.ip_forward=0（如需开启需严格管控）；
  • 防止ICMP重定向：net.ipv4.conf.all.accept_redirects=0；
  • 限制SYN半连接：net.ipv4.tcp_syncookies=1，net.ipv4.tcp_max_syn_backlog=2048；
  • 执行sysctl -p使配置生效。

日志与审计监控

日志配置

• 启用系统日志服务（如rsyslog），确保记录登录、权限变更、网络连接等关键事件，配置/etc/rsyslog.conf将日志远程发送至独立日志服务器（防止本地日志被篡改）；
• 对关键文件（如/etc/passwd、/etc/shadow）设置日志监控，通过auditd服务记录文件访问、修改行为，

  auditctl -w /etc/passwd -p wa -k passwd_changes

入侵检测

• 部署入侵检测工具（如fail2ban），监控SSH、Web服务登录失败行为，自动封禁恶意IP（如maxretry=3，bantime=3600）；
• 定期检查异常日志，如last命令查看登录历史，grep "Failed password" /var/log/auth.log分析暴力破解尝试。

文件系统与数据保护

权限与挂载优化

• 严格遵循最小权限原则，通过chmod和chown精细化控制文件权限（如/etc目录权限设为755，关键配置文件640）；
• 禁用不必要文件系统执行权限：在/etc/fstab中为/tmp、/var/tmp等目录添加noexec,nodev,nosuid选项，防止恶意脚本执行。

数据加密

• 对敏感数据分区（如/home、数据库）使用LUKS加密，防止物理介质数据泄露；
• 配置SSL/TLS加密传输（如HTTPS、SSH），定期更新证书（如使用certbot管理Let’s Encrypt证书）。

网络访问控制

防火墙策略

• 基于状态防火墙（如iptables或firewalld）配置白名单策略，仅允许授权IP访问指定端口，

  iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  iptables -P INPUT DROP

网络协议限制

• 禁用ICMP重定向、源路由等不安全选项，通过/etc/sysctl.conf设置net.ipv4.conf.all.accept_source_route=0；
• 限制TCP连接数（如iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP），防止单点暴力破解。

定期维护与应急响应

• 定期备份：制定备份策略（如全量+增量备份），对关键数据、配置文件进行异地备份，并定期恢复测试；
• 安全基线检查：使用工具（如Lynis、OSCAP）定期执行安全扫描，生成报告并修复问题；
• 应急响应：制定入侵响应流程，包括日志分析、系统隔离、漏洞修复及取证，确保事件发生后快速恢复。

Linux主机加固是一个持续迭代的过程，需结合系统环境、业务需求动态调整策略，通过“最小化安装-权限管控-漏洞修复-监控审计”的闭环管理,构建从底层到应用层的全方位安全防护体系。