linux系统加固

已于 2025-04-30 14:33:46 修改
阅读量1k 收藏 6
点赞数 22
文章标签: chrome 前端 linux ubuntu centos 网络安全 安全
于 2025-04-30 14:32:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxy98/article/details/147632394
版权

Linux系统加固是保障服务器或终端安全的关键步骤,通过减少攻击面、限制权限和监控异常行为来提升系统安全性。以下是针对Linux系统的详细加固指南,适用于个人用户及企业环境:

一、账户与权限管理

  1. 密码策略

    • 修改密码复杂度规则(编辑 /etc/security/pwquality.conf 或 /etc/pam.d/common-password):

      bash

      复制

      下载

      minlen = 12  
minclass = 4  # 包含大写、小写、数字、符号  
maxrepeat = 3  # 禁止连续重复字符

    • 设置密码有效期(编辑 /etc/login.defs):

      bash

      复制

      下载

      PASS_MAX_DAYS 90  
PASS_MIN_DAYS 1  
PASS_WARN_AGE 7

    • 使用 chage -l <用户> 检查密码状态。

  2. 用户与组权限

    • 删除无用账户:userdel <用户名>

    • 限制特权用户:

      • 使用 sudo 代替直接使用 root

      • 通过 /etc/sudoers 限制 sudo 权限(使用 visudo 编辑):

        bash

        复制

        下载

        %admin ALL=(ALL) NOPASSWD: /usr/bin/apt, /usr/bin/systemctl

    • 禁止非特权用户登录:在 /etc/ssh/sshd_config 中设置 AllowUsers user1 user2

  3. 账户锁定策略

    • 安装 pam_tally2 模块(编辑 /etc/pam.d/login):

      bash

      复制

      下载

      auth required pam_tally2.so deny=5 unlock_time=300

    • 查看失败登录记录:pam_tally2 --user <用户名>

二、服务与进程管理

  1. 关闭不必要的服务

    • 列出所有服务:systemctl list-unit-files --type=service

    • 禁用高危服务(如 rpcbindtelnetnfs 等):

      bash

      复制

      下载

      systemctl stop <服务名>  
systemctl disable <服务名>

  2. 限制后台进程

    • 使用 ps aux 或 top 检查异常进程。

    • 通过 crontab -u root -e 检查计划任务,删除可疑条目。

    • 禁用 Ctrl+Alt+Del 重启:注释 /etc/systemd/system/ctrl-alt-del.target

三、网络与防火墙配置

  1. 防火墙规则

    • 使用 ufw(Ubuntu)或 firewalld(RHEL/CentOS):

      bash

      复制

      下载

      ufw default deny incoming  
ufw allow 22/tcp  # 仅允许SSH端口  
ufw enable

    • 高级规则(iptables):

      bash

      复制

      下载

      iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
iptables -A INPUT -j DROP

  2. SSH加固

    • 编辑 /etc/ssh/sshd_config

      bash

      复制

      下载

      Port 2222  # 修改默认端口  
PermitRootLogin no  
PasswordAuthentication no  # 强制使用密钥认证  
MaxAuthTries 3  
ClientAliveInterval 300  # 超时断开空闲连接

    • 重启SSH服务:systemctl restart sshd

  3. 禁用IPv6(若无需使用)

    • 编辑 /etc/sysctl.conf

      bash

      复制

      下载

      net.ipv6.conf.all.disable_ipv6 = 1  
net.ipv6.conf.default.disable_ipv6 = 1

    • 生效配置:sysctl -p

四、文件系统与权限

  1. 关键目录权限

    • 设置敏感目录权限:

      bash

      复制

      下载

      chmod 700 /root  
chmod 644 /etc/passwd /etc/group  
chmod 600 /etc/shadow /etc/gshadow

    • 限制SUID/SGID文件:

      bash

      复制

      下载

      find / -perm /4000 -exec ls -ld {} \;  # 查找SUID文件  
find / -perm /2000 -exec ls -ld {} \;  # 查找SGID文件

  2. 挂载选项加固

    • 编辑 /etc/fstab,为分区添加 noexec,nosuid,nodev 选项:

      bash

      复制

      下载

      /dev/sda1 / ext4 defaults,noexec,nosuid,nodev 0 1

  3. 文件完整性监控

    • 使用 aide 或 tripwire 监控文件变更:

      bash

      复制

      下载

      aide --init  
aide --check

五、内核参数调优

  1. 防止常见攻击

    • 编辑 /etc/sysctl.conf

      bash

      复制

      下载

      # 禁止ICMP重定向  
net.ipv4.conf.all.accept_redirects = 0  
net.ipv4.conf.default.accept_redirects = 0  

# 防止SYN洪水攻击  
net.ipv4.tcp_syncookies = 1  

# 禁止内核转储(防止敏感信息泄露)  
fs.suid_dumpable = 0

    • 生效配置:sysctl -p

六、日志与审计

  1. 启用审计服务

    • 使用 auditd 记录关键操作:

      bash

      复制

      下载

      auditctl -a always,exit -F arch=b64 -S execve  # 监控进程执行  
auditctl -w /etc/passwd -p wa  # 监控文件修改

    • 查看日志:ausearch -k <审计规则名>

  2. 集中化日志管理

    • 配置 rsyslog 或 systemd-journald 将日志发送至远程服务器。

    • 示例(rsyslog):

      bash

      复制

      下载

      *.* @192.168.1.100:514

七、安全工具与自动化

  1. 漏洞扫描与基线检查

    • 使用工具自动化加固:

      • Lynislynis audit system

      • OpenSCAP:根据CIS基准扫描。

    • 定期运行:cron 定时任务。

  2. 入侵检测系统(IDS)

    • 部署 fail2ban 防止暴力破解:

      bash

      复制

      下载

      apt install fail2ban  
systemctl enable fail2ban

  3. SELinux/AppArmor

    • 启用并配置强制模式:

      bash

      复制

      下载

      # SELinux(RHEL/CentOS)  
setenforce 1  
sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config  

# AppArmor(Ubuntu/Debian)  
systemctl enable apparmor  
systemctl start apparmor

八、加密与备份

  1. 磁盘加密

    • 使用LUKS加密分区:

      bash

      复制

      下载

      cryptsetup luksFormat /dev/sdb1  
cryptsetup open /dev/sdb1 encrypted_volume  
mkfs.ext4 /dev/mapper/encrypted_volume

  2. 定期备份

    • 使用 rsync 或 borg 增量备份:

      bash

      复制

      下载

      borg create /backup::"{now}" /data

    • 加密备份文件:gpg -c backup.tar.gz

注意事项

  • 最小权限原则:所有操作遵循“仅授予必要权限”。

  • 测试与回滚:加固前备份配置文件,并在测试环境验证。

  • 持续监控:结合Prometheus+Grafana或ELK监控系统状态。

  • 合规要求:参考CIS Benchmark、NIST或企业安全规范。

通过以上措施,可显著提升Linux系统的安全性。企业环境中建议结合Ansible/Puppet实现批量配置管理,并定期进行渗透测试验证防护效果。

Linux系统加固指南
广阔天地,大有作为
09-12 726
在当今网络安全威胁日益增长的环境中,确保Linux系统安全性至关重要。本文将介绍几种常见的Linux加固方案,并提供一个基础的Shell脚本,以帮助用户提升系统安全性。
linux系统安全加固方案
完颜振江
04-03 1728
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
Linux系统加固
h2728677716的博客
09-14 499
系统加固基本措施 系统账号清理(无用的、长时间不用的、程序用户) Userdel/ passwd -l/ usermod -s /sbin/nologin Userdel –r +用户 删除用户 Userdel +用户名 删除无用的账户,有时候有人离职,可以把用户删除,但是用户里的文件保留下来了,再确认文件没用后再userdel +r 进行删除 Passwd -l +用户名 锁定账...
LINUX系统加固
无远弗届
03-02 467
今天学习了阿里云大学的《Linux系统Web应用安全加固》课程,将记录的笔记整理如下,以供后续学习。 下图是思维导图,具体见https://mubu.com/doc/yK1kL497O0 ...
2024年Linux最全linux系统加固
2401_83947398的博客
04-30 1401
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux系统安全加固
Yian123456的博客
06-20 1441
IPTables是Linux系统用于定义防火墙规则的工具,他是由两部分组成的,一个是IPTables,另一个是netfilter,主要工作在网络层,针对IP数据包。
Windows及Linux系统加固
钟言的博客
07-22 3792
本篇为windows及Linux系统加固,详细内容包含了:Windows加固 1、配置简介 2、账户配置 3、本地配置 4、安全设置 、Linux加固 1、配置简介 2、网络配置 3、日志和审计配置 4、访问认证和授权配置 5、系统运维配置等内容。
Windows与Linux 系统加固
three_1996的博客
03-30 2590
/.bash_profile 配置的局部变量,每个用户专属,当用户登录的时候,该文件仅仅执行一次。~/.bashrc 用户专属的bash信息,打开新的shell的时候,或者登录时,该文件被读取。/var/log/secure 安全日志,记录了所有的用户和工作组的变换,用户登录认证。/var/log/wtmp 永久记录每个用户登录、注销及系统的启动和停机事件,last。/ect/rc.d/rc.local 系统启动的时候,会加载该文件并执行其中的代码。文件: /etc/pam.d/system-auth。
linux常用加固方式
8888的博客
01-26 1205
添加一行:/dev/mapper/encrypted_volume /mnt/encrypted_directory ext4 defaults 0 2。修改/etc/pam.d/sshd 在文件末尾加:auth required pam_google_authenticator.so。添加一行:encrypted_volume /path/to/encrypted_container none luks。会创建一个名为encrypted_volume的设备(通常在/dev/mapper/目录下)
LINUX系统加固.docx
06-24
Linux系统加固是一个重要的过程,旨在提高系统安全性,防止未授权访问和恶意攻击。根据《可信计算机评估标准》(TCSEC)或"桔皮书",Linux系统安全级别通常需要达到B2级别,即"结构化安全保护"。这一级别要求有...
Linux系统加固.pdf
08-23
Linux系统加固是信息安全领域中的一项重要工作,旨在提升Linux系统安全性,以抵御外部威胁和内部误操作的风险。文档中提到的内容重点介绍了如何通过系统密码策略、账号管理、umask值的设置、禁用root账号的SSH远程...
针对LInux系统加固
07-08
针对工控系统linux存在的安全问题,可针对Linux系统进行加固,对二次安防整改提供思路,有助于对能源系统安全防护。
批量删除OpenStack实例
最新发布
北观止的博客
04-30 268
Linux终端实现批量删除OpenStack实例,支持并发删除、安全确认、重试机制、优先清理运行中实例。
浏览器插件,提示:此扩展程序未遵循 Chrome 扩展程序的最佳实践,因此已无法再使用
小菜狗系列笔记
04-28 509
如果你是比较新的 Chrome 135.0.7049.42(含)以上版本的话,可以通过修改。并回车(打开这个页面),然后在其中选择。
Linux环境变量
hyxdg的博客
04-29 664
环境变量(environment variables)⼀般是指在操作系统中用来指定操作系统运行环境的⼀些参数 如:我们在编写C/C++代码的时候,在链接的时候,从来不知道我们的所链接的动态静态库在哪 ⾥,但是照样可以链接成功,生成可执行程序,原因就是有相关环境变量帮助编译器进行查找。 环境变量通常具有某些特殊用途,还有在系统当中通常具有全局特性
如何删除Google Chrome中的所有历史记录【一键清除】
weixin_43772292的博客
04-27 380
使用谷歌浏览器时,历史记录会不断累积,既占空间又可能泄露隐私。及时清除浏览数据,可以保护个人信息安全。下面用简单清晰的方法,带大家了解在Google Chrome中如何快速删除所有历史记录。
Linux庖丁解牛】—环境变量!
2301_80221228的博客
04-30 766
• 环境变量(environment variables)⼀般是指在操作系统中用来指定操作系统运行环境的⼀些参数• 如:我们在编写C/C++代码的时候,在链接的时候,从来不知道我们的所链接的动态静态库在哪 里,但是照样可以链接成功,生成可执行程序,原因就是有相关环境变量帮助编译器进行查找。• 环境变量通常具有某些特殊用途,还有在系统当中通常具有全局特性1.2 命令行参数。
Linux系统加固实践代码
12-10
Linux系统中,系统加固是确保系统安全的重要步骤。以下是一些常见的Linux系统加固实践代码和命令: ### 1. 更新系统 首先,确保系统是最新的,以修补已知的安全漏洞。 ```bash sudo apt update && sudo apt upgrade -y ``` ### 2. 禁用不必要的服务 禁用不必要的服务和启动项,以减少攻击面。 ```bash sudo systemctl disable <service_name> sudo systemctl stop <service_name> ``` ### 3. 配置防火墙 使用`ufw`(Uncomplicated Firewall)来配置防火墙规则。 ```bash sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow ssh sudo ufw enable ``` ### 4. 增强SSH安全性 修改SSH配置文件以增强安全性,例如禁用root登录和更改默认端口。 ```bash sudo nano /etc/ssh/sshd_config ``` 在文件中进行以下更改: ```plaintext PermitRootLogin no Port <new_port_number> PasswordAuthentication no ``` 保存并退出文件,然后重启SSH服务: ```bash sudo systemctl restart sshd ``` ### 5. 安装和配置Fail2Ban Fail2Ban可以防止暴力破解攻击。 ```bash sudo apt install fail2ban -y sudo nano /etc/fail2ban/jail.local ``` 在文件中添加以下内容: ```plaintext [sshd] enabled = true port = <new_port_number> filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 600 ``` 保存并退出文件,然后重启Fail2Ban服务: ```bash sudo systemctl restart fail2ban ``` ### 6. 启用SELinux或AppArmor 根据发行版不同,启用SELinux或AppArmor以提供额外的安全层。 #### 启用SELinux ```bash sudo setenforce 1 ``` #### 启用AppArmor ```bash sudo systemctl enable apparmor sudo systemctl start apparmor ``` ### 7. 文件系统权限 确保关键文件和目录的权限设置正确。 ```bash sudo chmod -R go-w /etc sudo chmod -R go-rw /var/log ``` ### 8. 定期审计和监控 使用工具如`Lynis`进行系统审计。 ```bash sudo apt install lynis -y sudo lynis audit system ``` ### 9. 日志管理 配置系统日志以确保日志文件的完整性和安全性。 ```bash sudo nano /etc/rsyslog.conf ``` 确保以下行未被注释: ```plaintext $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 ``` 保存并退出文件,然后重启rsyslog服务: ```bash sudo systemctl restart rsyslog ``` 通过这些步骤,可以显著提高Linux系统安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

默然zxy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值