Linux Minimal怎样提升安全性
小樊
46
2026-01-02 20:04:39
Linux Minimal 安全加固清单
一 基线加固与账户安全
- 保持系统与安全补丁为最新:优先更新内核与关键组件,减少已知漏洞利用面。
- 清理与锁定无用账户:删除或锁定默认/冗余账户(如 games、lp、uucp 等),仅保留必需账户;检查是否存在 UID=0 的非 root 账户。
- 强化口令与登录策略:设置最小密码长度(如 12 位)、复杂度与有效期;为 root 设置强密码或锁定 root 远程登录;限制 su 为 wheel 组;设置会话超时(如 TMOUT=600);配置 HISTSIZE/HISTFILESIZE=5 减少命令泄露。
- 最小权限原则:日常使用普通用户 + sudo;通过 visudo 精细化授权,避免 ALL=(ALL) NOPASSWD: ALL 这类过宽授权;服务使用专用低权限账户运行。
- 登录告警与横幅:在 /etc/motd、/etc/issue、/etc/issue.net 设置“仅授权使用、全程监控”的警示信息。
二 服务与端口最小化
- 精简开机自启:仅启用必需服务(如 sshd、rsyslog、crond、network),其余一律关闭;用 systemctl list-unit-files --type=service | grep enabled 核对。
- 停用高风险/无用服务:如 telnet、ftp、rsh 等明文协议;常见可关闭的还有 avahi-daemon、cupsd、rpcbind(视业务而定)。
- 收敛暴露面:用 ss -tulnp 或 netstat -tuln 检查监听端口,只开放业务必需端口;对仅内网使用的服务,绑定到 127.0.0.1 或内网地址而非 0.0.0.0。
- 服务降权:Web/DB 等以专用低权限用户运行(如 www-data),通过 systemd 单元设置 User=/Group=。
三 防火墙与网络防护
- RHEL/CentOS 系使用 firewalld:
- 启动与开机自启:systemctl start|enable firewalld
- 查看状态与规则:firewall-cmd --state、firewall-cmd --list-all
- 放行端口/服务:firewall-cmd --permanent --add-port=80/tcp 或 –add-service=http;变更后 –reload 生效
- Ubuntu/Debian 系使用 UFW:
- 启用与查看:ufw enable、ufw status numbered
- 放行与拒绝:ufw allow ssh、ufw allow 80/tcp、ufw deny from 1.2.3.4、ufw allow from 192.168.1.100 to any port 3306/tcp
- 日志与重置:ufw logging on(日志 /var/log/ufw.log)、ufw reset
- 纵深防护建议:仅开放必要端口;对管理口或敏感端口限制来源网段;必要时结合 fail2ban 防御暴力破解。
四 文件系统与权限收紧
- 关键文件权限:
- /etc/passwd 644、/etc/group 644、/etc/shadow 600、/etc/gshadow 600
- /etc/sudoers 440,始终用 visudo 编辑
- 目录与文件默认权限:建议 umask 027;Web 目录如 /var/www/html 750,属主属组为 www-data:www-data;避免全局可写。
- 临时目录安全:确保 /tmp 为 1777 并启用 nodev,nosuid,noexec(在 /etc/fstab 为 /tmp、/var/tmp 等设置挂载选项)。
- 关键文件防篡改:对 /boot/grub2/grub.cfg 等设置不可变属性 chattr +i(内核更新后需临时移除再恢复);必要时用 AIDE 做完整性校验。
五 日志审计与入侵检测
- 集中与远程日志:确保 rsyslog/syslog-ng 运行,配置将日志发送至专用日志服务器,防止本地日志被清除。
- 命令与关键路径审计:启用 auditd,添加规则记录命令执行与敏感文件变更,例如:
- 记录所有命令执行:-a always,exit -F arch=b64 -S execve
- 记录身份变更:auditctl -w /etc/passwd -p wa -k identity_change
- 查询示例:ausearch -m USER_LOGIN -ts today、ausearch -m EXECVE -ts yesterday
- 入侵检测与合规:部署 OSSEC/Wazuh 做暴力破解、敏感文件修改、异常进程等检测与告警;上线前对照 CIS Benchmark 做基线核查。
