Linux minimal安全策略有哪些

Linux Minimal 安全策略清单

一基础最小化原则

二账户与认证安全

清理与锁定无用账户：将 lp、uucp、games、dip 等伪账户设为 nologin 或删除；排查并锁定异常账户。
空口令与 UID 0 检查：
- 空口令：awk -F: '($2 == ""){print $1}' /etc/shadow
- UID 为 0 的账户：awk -F: '($3 == 0){print $1}' /etc/passwd（仅保留 root）
口令策略：在 /etc/login.defs 设置 PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE，强制周期更换与复杂度。
root 远程登录禁用：PermitRootLogin no；必要时仅允许 sudo 提权。
登录失败与超时：配置 pam_tally2 或 faillock 限制失败次数并锁定；SSH 设置 ClientAliveInterval 300、ClientAliveCountMax 0 自动断开空闲会话。
sudo 精细化授权：使用 visudo 按需授权，如 zhangsan ALL=(ALL) /usr/bin/systemctl restart nginx，避免 NOPASSWD: ALL 的滥用。

三服务与启动最小化

精简开机自启：仅保留 crond、network、rsyslog、sshd（可视需要增加 sysstat）；其余一律关闭。
关闭高风险/无用服务：如无业务需求，关闭 bluetooth、avahi-daemon、cups、postfix、nfs/rpcbind、telnet 等。
控制台与重启热键：限制 /etc/securetty 仅保留必要 TTY；禁用 Ctrl-Alt-Delete 重启组合键，减少物理接触风险。
运行级别：服务器场景建议使用 多用户文本模式（runlevel 3），减少图形栈暴露面。

四网络与 SSH 安全

防火墙启用与最小化放行：
- firewalld：firewall-cmd --permanent --add-port=22/tcp --zone=work，必要时仅对可信网段放行：--add-source=192.168.28.0/24。
- 或 iptables：仅开放 SSH 管理端口，默认拒绝其他入站。
SSH 基线加固：
- 协议与端口：Protocol 2、Port 2222/64906（示例）；
- 访问限制：PermitRootLogin no、PermitEmptyPasswords no、PasswordAuthentication no（配合密钥登录）、UseDNS no、GSSAPIAuthentication no；
- 主机认证：IgnoreRhosts yes、HostbasedAuthentication no；
- 日志与提示：LogLevel INFO、Banner /etc/issue。
密钥登录优先：生成 ED25519 或 RSA 4096 密钥对，禁用口令登录，保护私钥权限为 600。
端口变更与 SELinux：若修改 SSH 端口，需同步更新 SELinux 端口类型：semanage port -a -t ssh_port_t -p tcp 64906（CentOS 7）。

五系统与内核加固

核心转储限制：/etc/security/limits.conf 设置 * soft core 0、* hard core 0，降低敏感信息泄露与磁盘耗尽风险。
关键文件保护：对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/services 设置不可变属性 chattr +i，变更前务必评估运维影响。
umask 与守护进程掩码：全局 umask 022，守护进程以最小权限创建文件。
内核网络防护：开启 log_martians 记录可疑源地址包，按需调优 rp_filter、syn_cookies 等参数。
时间同步：部署 chrony 或 NTP，保证日志与审计时序一致性，避免因时间漂移影响取证。
完整性校验与监控：部署 AIDE 做文件完整性基线，结合 auditd 审计关键文件与命令，配合 rsyslog 与外部 SIEM 进行集中告警。

最新问答