Linux系统存在哪些安全漏洞

Linux 系统的安全漏洞全景与防护要点

一 身份与访问控制类

• 弱口令与密码策略缺失：容易被字典/暴力破解获取，扩大入侵面。
• SSH 配置不当：允许root 直接登录、仅用密码认证、暴露默认端口 22、无失败锁定，常被自动化工具爆破。
• sudo 配置过度：如NOPASSWD: ALL、授予过宽命令权限，导致权限提升。
• SUID/SGID 程序滥用：存在漏洞或被植入后门时，可被利用获取更高权限。
• rhosts / .rlogin 等信任关系遗留：基于主机的免密信任易被滥用横向移动。
• 防护要点：强制强密码策略与周期轮换；SSH 采用密钥登录、禁用 root 登录、限制可登录用户与来源 IP，配合 fail2ban；按最小权限配置 sudo 并定期审计；清理不必要的 SUID/SGID；移除 rhosts 等信任机制。

二 系统与内核类

• 内核提权漏洞：如 Dirty COW（CVE-2016-5195） 等本地提权问题，影响广泛。
• 内核信息泄露与调试接口滥用：如 dmesg_restrict / kptr_restrict / ptrace_scope 未收紧，泄露内核指针或被调试劫持。
• 系统服务/守护进程漏洞：历史上 Sendmail、Imapd、Pop3d、DNS 等程序频繁曝洞，未修补即被利用。
• 容器与虚拟化逃逸：容器特权模式、不当 capabilities 或未隔离的挂载/内核共享导致逃逸风险。
• 防护要点：及时更新内核与系统软件；启用内核安全参数（如 kernel.dmesg_restrict=1、kernel.kptr_restrict=2、kernel.yama.ptrace_scope=1）；最小化容器权限（如 –read-only、–security-opt=no-new-privileges、–cap-drop=ALL 并按需仅添加必要能力）。

三 网络与 Web 应用类

• 明文协议与旧服务：长期使用 Telnet（23）/FTP（21）/Rlogin 等明文或弱认证服务，易被窃听与冒用。
• 防火墙与访问控制薄弱：未限制必要端口/来源 IP，规则过宽或缺乏日志审计。
• Web 应用漏洞：命令注入、路径遍历、SQL 注入、XSS、文件包含等导致远程代码执行或数据泄露。
• 拒绝服务：面向服务的 DoS/DDoS 使业务中断。
• 防护要点：禁用明文协议，仅开放必要端口；用 iptables/firewalld/nftables 实施最小暴露与日志；Web 侧使用参数化查询/预编译、输入校验与最小权限运行；部署 WAF/速率限制/CDN 缓解 DoS/DDoS。

四 文件与进程完整性类

• 敏感文件权限错误：如 /etc/passwd（644）、/etc/shadow（600）、/etc/sudoers（440） 过宽，导致信息泄露或提权。
• 世界可写目录与临时目录滥用：如 /tmp 上的 SetUID 程序或脚本被植入后门。
• 计划任务与启动项后门：cron、.bashrc/.profile、系统服务被篡改，持久化驻留。
• 日志与审计被清空：syslog、messages、wtmp、utmp、lastlog、.history 被清理，增加溯源难度。
• 防护要点：严格设置关键文件权限与属主；清理不必要的 SUID/SGID；对 /tmp 等目录使用 noexec/nodev/nosuid 挂载选项并监控异常；启用 auditd 与集中日志；对 cron 与系统服务实施变更审计与完整性校验。

五 运维与供应链类

• 补丁与更新滞后：内核、中间件、第三方组件存在已知漏洞未及时修复。
• SSH 密钥与 Agent 转发风险：私钥泄露、known_hosts 横向、Agent 劫持导致“无感”跳转。
• 恶意软件与后门检测不足：缺少 rkhunter/chkrootkit 等基线检查与告警。
• 备份与恢复薄弱：无离线/异地备份或演练，遭勒索/篡改后难以恢复。
• 防护要点：建立持续补丁与变更流程；禁用不必要的 SSH Agent 转发，妥善保管私钥并实施最小权限访问；部署恶意软件检测与文件完整性监控；制定并演练备份与恢复预案。