Linux系统清理：安全与隐私保护

Linux系统清理与隐私保护实操清单

一 系统与账户清理

• 更新与补丁：保持系统与软件为最新版本，及时修补漏洞（如执行发行版包管理器的更新命令）。
• 卸载不必要软件与禁用无用服务：减少攻击面（如 apt remove、yum/dnf remove；systemctl disable）。
• 清理临时与缓存：清理包管理器缓存与临时目录（如 apt clean、yum/dnf clean all；/tmp 与 /var/tmp 按需清理）。
• 日志轮转与归档：配置 logrotate，必要时对 journal 做时间或容量裁剪（如 journalctl --vacuum-time=2weeks）。
• 账户治理：删除或禁用不再使用的账户；将仅用于服务运行的非登录账户 Shell 设为 /sbin/nologin；对可疑或长期闲置账户执行锁定（如 passwd -l、usermod -L）；必要时用 chattr +i 保护关键配置文件防篡改。
• 密码与登录策略：用 chage 设置密码最小/最大有效期、到期警告与账户过期；在 /etc/login.defs 中统一新建用户策略；通过 PAM 的 pam_wheel 限制 su 仅对 wheel 组开放；SSH 中禁用 root 登录（PermitRootLogin no）并优先使用密钥认证。

二 命令行与历史记录隐私

• 查看与删除：用 history 查看；用 history -d 行号 删除单条；用 history -c 清空当前会话历史，配合 > ~/.bash_history 清空历史文件。
• 临时禁用记录：在当前会话设置 HISTFILE=/dev/null 或 unset HISTFILE；执行敏感命令前 set +o history，完成后 set -o history。
• 细粒度控制：在 ~/.bashrc 中配置 HISTSIZE/HISTFILESIZE；启用 HISTCONTROL=ignorespace 使以空格开头的命令不被记录；在退出时自动清理（如向 ~/.bash_logout 追加 history -c）。
• 会话超时：在 /etc/profile 或用户环境设置 TMOUT=600（单位秒），长时间空闲自动注销。

三 网络与远程访问安全

• 防火墙：启用并最小化规则集（如 ufw enable && ufw default deny incoming；firewalld/iptables 按需配置仅放行必要端口）。
• SSH 加固：更改默认端口、禁用密码登录并启用密钥认证、限制可登录用户/组、仅允许 Protocol 2。
• 入侵防护：部署 fail2ban 自动封禁暴力破解来源。
• 服务最小化：关闭未使用的端口与服务（如 systemctl disable 与端口关闭）。

四 桌面与网络隐私增强

• MAC 地址随机化：在 /etc/NetworkManager/conf.d/00-macrandomize.conf 启用扫描与连接随机 MAC（wifi.scan-rand-mac-address、wifi.cloned-mac-address、ethernet.cloned-mac-address 设为 random），重启 NetworkManager。
• 主机名与唯一标识：将主机名设为 localhost；视发行版关闭或匿名化统计/遥测标识（如 /etc/dnf/dnf.conf 的 countme=false；删除 /var/lib/zypp/AnonymousUniqueId；在 Ubuntu 上移除或屏蔽 zorin-os-census；必要时移除或禁用 snapd）。
• 输入指纹匿名化：使用 Kloak 降低基于键盘时序的指纹识别风险。
• 应用沙盒与权限：优先使用 Flatpak/Snap 并在其权限管理器中收紧网络、音频、摄像头、文件系统访问；必要时用 Firejail 做进程级沙盒（注意其 setuid 带来的攻击面）。

五 审计、备份与强制访问控制

• 审计与完整性：启用 auditd 记录关键系统调用与文件访问；定期用 Lynis/OpenSCAP 做安全基线核查。
• 备份与恢复：制定定期备份（如 rsync/tar），并定期验证可恢复性。
• 强制访问控制：在支持的发行版启用并保持 SELinux/AppArmor 处于强制模式，依据角色最小化策略放行。

安全提示

• 执行账户、SSH、防火墙与 MAC 随机化等变更前，先在测试环境验证，并做好配置与数据的完整备份。
• 生产环境变更建议采用分阶段与回滚预案，变更后持续监控日志与告警。
• 若涉及合规与取证，请注意不当清理可能违反策略或法律要求；此类场景应由专业人员按流程处理。