Linux系统漏洞预防实用清单
一 基础加固
- 保持系统与软件为最新:启用安全更新,生产环境优先采用“仅安全补丁”策略,变更前先备份与在测试环境验证,更新后核查日志与回滚预案。最小化安装,减少潜在漏洞载体。
- 精简攻击面:关闭不必要的服务与端口,使用ss -tuln或netstat -tuln核对监听,按业务保留最小集服务。
- 身份与权限:禁止root远程登录(SSH 配置PermitRootLogin no),日常以普通用户+sudo提权;限制su使用范围;强制密码复杂度与周期轮换;清理长期未改密与共享账户。
- 强化内核与进程边界:启用SELinux或AppArmor并设定为 enforcing/受限模式,按需编写最小权限策略,减少被攻破后的横向移动。
二 网络与远程访问
- 边界防护:启用UFW/Firewalld/Iptables等防火墙,默认拒绝入站,仅放行必要端口(如22/TCP管理、80/443/TCP业务);对管理口与数据库等敏感端口实施源IP白名单与端口最小暴露。
- 安全远程访问:优先使用SSH密钥认证并禁用口令登录;必要时更改默认端口并配合fail2ban等防暴力工具;仅开放跳板或带外管理通道。
- 传输加密:对敏感管理接口与数据传输启用TLS/SSL,避免明文协议与自签名证书。
三 更新与补丁管理
- 自动化与可控性:在测试与预生产环境验证补丁,再分批推广到生产;关键系统采用滚动更新与维护窗口;保留回滚方案(快照/备份/旧内核保留)。
- 安全更新策略:配置unattended-upgrades/yum-cron仅安装安全更新;定期查看更新日志与通知,异常及时告警与处置。
- 包完整性与来源可信:优先使用发行方仓库与签名包,安装前校验GPG/SHA256;对关键变更建立变更单与审计记录。
四 监测审计与备份恢复
- 集中与持续监测:收集并集中**/var/log/secure、/var/log/auth.log、/var/log/messages等日志,保留不少于90天**;启用auditd审计关键文件与命令(如**/etc/shadow**读写、sudo执行)。
- 异常行为识别:定期查看who/w、last、lastb、faillog,结合基线比对与阈值告警,发现暴力尝试、异常登录与权限变更及时处置。
- 完整性校验与文件监控:使用Tripwire/AIDE对关键系统文件建立哈希基线并周期性校验,发现篡改立即溯源与恢复。
- 备份与演练:制定覆盖配置与数据的定期备份与离线/异地副本策略,定期演练恢复流程,确保勒索或故障场景下可快速恢复。
五 10分钟快速检查脚本
- 查看监听端口与服务:ss -tulpen | awk ‘$5 !~ /127.0.0.1/{print $1,$4,$5}’
- 检查是否允许root远程SSH:grep -E ‘^PermitRootLogin’ /etc/ssh/sshd_config || echo “未设置(默认可能允许)”
- 核查防火墙状态与放行端口:ufw status verbose || firewall-cmd --state && firewall-cmd --list-all
- 查看失败登录与暴力尝试:lastb -n 20;faillog -a
- 检查未改密账户:awk -F: ‘$5 ~ /never/{print $1}’ /etc/shadow
- 查看待安装安全更新(Debian/Ubuntu):apt list --upgradable | grep -i security;RHEL/CentOS:yum updateinfo summary || dnf updateinfo summary
- 快速备份关键基线:tar czf /root/baseline-$(date +%F).tgz /etc /root /var/log /usr/local/bin --exclude=/var/log/*.gz
注意:执行上述命令需具备相应权限,生产环境建议先在测试环境验证,变更前做好备份与回滚方案,以免影响业务连续性。
