Linux系統(tǒng)安全加固細(xì)則一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制（如：`userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate`）。

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求（如：最小長(zhǎng)度12位，必須包含大小寫字母和數(shù)字）。

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginno`改為`no`。

2.禁用默認(rèn)賬戶：

-刪除或禁用`guest`、`test`等默認(rèn)賬戶（如：`userdelguest`）。

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新（如：`/etc/apt/apt.conf.d/50unattended-upgrades`配置自動(dòng)安裝安全補(bǔ)?。?。

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，定期審計(jì)。

```

/etc/rsyslog.conf示例

.@00

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-使用`firewalld`默認(rèn)策略（如：`firewall-cmd--permanent--add-service=http`開放HTTP服務(wù)）。

-限制入站端口，僅開放必要端口（如：22、80、443）。

2.拒絕所有未知連接：

-`iptables`默認(rèn)拒絕策略：

```

filter

:INPUTDROP[0:0]

:FORWARDDROP[0:0]

:OUTPUTACCEPT[0:0]

-AINPUT-ilo-jACCEPT

-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-`sshd_config`中設(shè)置`PasswordAuthenticationno`，強(qiáng)制公鑰認(rèn)證。

2.限制登錄IP：

-使用`iptables`或`firewalld`僅允許特定IP段登錄（如：`firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'`）。

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表：`DirectoryListingOff`。

-強(qiáng)制HTTPS（如：配置HTTP重定向到`https://`）。

2.文件權(quán)限：

-限制敏感文件訪問（如：`/etc/passwd`不可被Web用戶讀?。?。

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-啟用審計(jì)模塊（如：`auditctl-w/etc/passwd-pwarx-kuser_mod`）。

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`定期檢查CPU、內(nèi)存使用情況。

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP（如：配置`jail.conf`封禁SSH暴力破解IP）。

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制。

-示例配置：

```

允許用戶user在不輸入密碼的情況下執(zhí)行所有管理員命令

userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate,/usr/bin/systemctlrestart

限制用戶admin僅能管理網(wǎng)絡(luò)服務(wù)

adminALL=(root)/usr/sbin/ufw,/usr/sbin/iptables

```

-確保所有用戶家目錄權(quán)限為750，且其他用戶無法寫入：

```

find/home-typed-execchmod750{}\;

find/home-typef-execchmod640{}\;

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求。

-示例配置：

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

-`pam_pwquality`參數(shù)說明：

-`retry=3`：允許重試3次失敗后報(bào)錯(cuò)。

-`minlen=12`：密碼最小長(zhǎng)度12位。

-`difok=3`：新密碼必須與舊密碼有至少3個(gè)字符差異。

-`ucredit=-1`：至少包含1個(gè)大寫字母。

-`lcredit=-1`：至少包含1個(gè)小寫字母。

-`dcredit=-1`：至少包含1個(gè)數(shù)字。

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginyes`改為`no`或`without-password`。

-示例配置：

```

PermitRootLoginno

```

-重啟SSH服務(wù)以應(yīng)用更改：

```

systemctlrestartsshd

```

2.禁用默認(rèn)賬戶：

-默認(rèn)賬戶通常具有高風(fēng)險(xiǎn)，應(yīng)全部刪除或禁用。

-列出所有系統(tǒng)用戶：

```

getentpasswd|cut-d:-f1

```

-刪除或禁用默認(rèn)賬戶（如：`userdelguest`）。

-對(duì)于SUID/SGID賬戶（如：`bin`、`sys`），可通過`passwd`命令鎖定賬戶：

```

passwd-lbin

```

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新，減少人為疏漏。

-編輯`/etc/apt/apt.conf.d/50unattended-upgrades`，啟用自動(dòng)更新：

```

//以下為示例配置

APT::Periodic::Update-Package-Lists"1";

APT::Periodic::Unattended-Upgrade"1";

APT::Periodic::Unattended-Upgrade::MinimalSteps"1";

APT::Periodic::Unattended-Upgrade::Install-Recommends"false";

```

-安裝`unattended-upgrades`：

```

apt-getinstallunattended-upgrades

```

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，便于集中管理。

-編輯`/etc/rsyslog.conf`，添加日志轉(zhuǎn)發(fā)規(guī)則：

```

.@00;

```

-重啟`rsyslog`服務(wù)：

```

systemctlrestartrsyslog

```

-驗(yàn)證日志轉(zhuǎn)發(fā)是否生效：

```

tail-f/var/log/syslog

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-推薦使用`firewalld`，因其支持動(dòng)態(tài)規(guī)則管理。

-安裝`firewalld`：

```

apt-getinstallfirewalld

```

-啟用并啟動(dòng)服務(wù)：

```

systemctlenablefirewalld

systemctlstartfirewalld

```

-開放必要服務(wù)（如HTTP、HTTPS）：

```

firewall-cmd--permanent--add-service=http

firewall-cmd--permanent--add-service=https

firewall-cmd--reload

```

-使用`iptables`作為備份方案（示例）：

-清空現(xiàn)有規(guī)則：

```

iptables-F

```

-設(shè)置默認(rèn)策略為DROP，僅允許本地回環(huán)接口：

```

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

-允許SSH連接：

```

iptables-AINPUT-ptcp--dport22-jACCEPT

```

-保存規(guī)則：

```

iptables-save>/etc/iptables/rules.v4

```

2.拒絕所有未知連接：

-確保所有非授權(quán)流量被阻斷。

-在`iptables`中添加拒絕所有入站連接的規(guī)則：

```

iptables-AINPUT-jREJECT

```

-在`firewalld`中，可通過區(qū)域設(shè)置（如`DROP`區(qū)域）實(shí)現(xiàn)類似效果。

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-強(qiáng)制公鑰認(rèn)證，提高登錄安全性。

-編輯`/etc/ssh/sshd_config`，修改相關(guān)配置：

```

PasswordAuthenticationno

PermitEmptyPasswordsno

```

-確保公鑰認(rèn)證可用：

```

PubkeyAuthenticationyes

AuthorizedKeysFile.ssh/authorized_keys

```

-重啟SSH服務(wù)：

```

systemctlrestartsshd

```

2.限制登錄IP：

-僅允許特定IP段登錄，降低暴力破解風(fēng)險(xiǎn)。

-使用`iptables`或`firewalld`限制IP：

-`firewalld`示例：

```

firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'

firewall-cmd--reload

```

-`iptables`示例：

```

iptables-AINPUT-ptcp-s/24--dport22-jACCEPT

iptables-AINPUT-ptcp--dport22-jDROP

```

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表，防止敏感文件泄露。

-Nginx配置：

```

location/{

autoindexoff;

}

```

-Apache配置：

```

<Directory/>

Options-Indexes

</Directory>

```

-強(qiáng)制HTTPS，加密傳輸數(shù)據(jù)。

-配置HTTP重定向到HTTPS：

```

Nginx示例

server{

listen80;

server_name;

return301https://$server_name$request_uri;

}

```

2.文件權(quán)限：

-限制敏感文件訪問權(quán)限。

-確保Web用戶（如`www-data`）無法讀取`/etc/passwd`：

```

chmod400/etc/passwd

```

-配置Web根目錄權(quán)限：

```

find/var/www/html-typed-execchmod750{}\;

find/var/www/html-typef-execchmod640{}\;

```

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-`auditd`可記錄文件訪問、系統(tǒng)調(diào)用等關(guān)鍵事件。

-安裝`auditd`：

```

apt-getinstallauditd

```

-添加審計(jì)規(guī)則（如：監(jiān)控`/etc/passwd`的修改）：

```

auditctl-w/etc/passwd-pwarx-kuser_mod

```

-查看審計(jì)日志：

```

ausearch-kuser_mod

```

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`等工具實(shí)時(shí)監(jiān)控系統(tǒng)資源使用情況。

-安裝`htop`：

```

apt-getinstallhtop

```

-使用`htop`監(jiān)控進(jìn)程和資源：

```

htop

```

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

-使用`rsync`備份到遠(yuǎn)程服務(wù)器：

```

rsync-avz/etc/user@remote_host:/backup/etc

```

-使用`crontab`定時(shí)備份：

```

編輯crontab

crontab-e

添加以下行，每日凌晨1點(diǎn)備份

01rsync-avz/etc/user@remote_host:/backup/etc

```

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP。

-安裝`fail2ban`：

```

apt-getinstallfail2ban

```

-配置SSH保護(hù)（編輯`/etc/fail2ban/jail.local`）：

```

[sshd]

enabled=true

port=22

filter=sshd

logpath=/var/log/auth.log

maxretry=3

findtime=10m

bantime=1h

```

-重啟`fail2ban`服務(wù)：

```

systemctlrestartfail2ban

```

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。此外，應(yīng)保持對(duì)最新安全漏洞的關(guān)注，及時(shí)更新系統(tǒng)補(bǔ)丁。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制（如：`userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate`）。

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求（如：最小長(zhǎng)度12位，必須包含大小寫字母和數(shù)字）。

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginno`改為`no`。

2.禁用默認(rèn)賬戶：

-刪除或禁用`guest`、`test`等默認(rèn)賬戶（如：`userdelguest`）。

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新（如：`/etc/apt/apt.conf.d/50unattended-upgrades`配置自動(dòng)安裝安全補(bǔ)?。?/p>

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，定期審計(jì)。

```

/etc/rsyslog.conf示例

.@00

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-使用`firewalld`默認(rèn)策略（如：`firewall-cmd--permanent--add-service=http`開放HTTP服務(wù)）。

-限制入站端口，僅開放必要端口（如：22、80、443）。

2.拒絕所有未知連接：

-`iptables`默認(rèn)拒絕策略：

```

filter

:INPUTDROP[0:0]

:FORWARDDROP[0:0]

:OUTPUTACCEPT[0:0]

-AINPUT-ilo-jACCEPT

-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-`sshd_config`中設(shè)置`PasswordAuthenticationno`，強(qiáng)制公鑰認(rèn)證。

2.限制登錄IP：

-使用`iptables`或`firewalld`僅允許特定IP段登錄（如：`firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'`）。

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表：`DirectoryListingOff`。

-強(qiáng)制HTTPS（如：配置HTTP重定向到`https://`）。

2.文件權(quán)限：

-限制敏感文件訪問（如：`/etc/passwd`不可被Web用戶讀取）。

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-啟用審計(jì)模塊（如：`auditctl-w/etc/passwd-pwarx-kuser_mod`）。

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`定期檢查CPU、內(nèi)存使用情況。

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP（如：配置`jail.conf`封禁SSH暴力破解IP）。

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制。

-示例配置：

```

允許用戶user在不輸入密碼的情況下執(zhí)行所有管理員命令

userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate,/usr/bin/systemctlrestart

限制用戶admin僅能管理網(wǎng)絡(luò)服務(wù)

adminALL=(root)/usr/sbin/ufw,/usr/sbin/iptables

```

-確保所有用戶家目錄權(quán)限為750，且其他用戶無法寫入：

```

find/home-typed-execchmod750{}\;

find/home-typef-execchmod640{}\;

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求。

-示例配置：

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

-`pam_pwquality`參數(shù)說明：

-`retry=3`：允許重試3次失敗后報(bào)錯(cuò)。

-`minlen=12`：密碼最小長(zhǎng)度12位。

-`difok=3`：新密碼必須與舊密碼有至少3個(gè)字符差異。

-`ucredit=-1`：至少包含1個(gè)大寫字母。

-`lcredit=-1`：至少包含1個(gè)小寫字母。

-`dcredit=-1`：至少包含1個(gè)數(shù)字。

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginyes`改為`no`或`without-password`。

-示例配置：

```

PermitRootLoginno

```

-重啟SSH服務(wù)以應(yīng)用更改：

```

systemctlrestartsshd

```

2.禁用默認(rèn)賬戶：

-默認(rèn)賬戶通常具有高風(fēng)險(xiǎn)，應(yīng)全部刪除或禁用。

-列出所有系統(tǒng)用戶：

```

getentpasswd|cut-d:-f1

```

-刪除或禁用默認(rèn)賬戶（如：`userdelguest`）。

-對(duì)于SUID/SGID賬戶（如：`bin`、`sys`），可通過`passwd`命令鎖定賬戶：

```

passwd-lbin

```

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新，減少人為疏漏。

-編輯`/etc/apt/apt.conf.d/50unattended-upgrades`，啟用自動(dòng)更新：

```

//以下為示例配置

APT::Periodic::Update-Package-Lists"1";

APT::Periodic::Unattended-Upgrade"1";

APT::Periodic::Unattended-Upgrade::MinimalSteps"1";

APT::Periodic::Unattended-Upgrade::Install-Recommends"false";

```

-安裝`unattended-upgrades`：

```

apt-getinstallunattended-upgrades

```

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，便于集中管理。

-編輯`/etc/rsyslog.conf`，添加日志轉(zhuǎn)發(fā)規(guī)則：

```

.@00;

```

-重啟`rsyslog`服務(wù)：

```

systemctlrestartrsyslog

```

-驗(yàn)證日志轉(zhuǎn)發(fā)是否生效：

```

tail-f/var/log/syslog

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-推薦使用`firewalld`，因其支持動(dòng)態(tài)規(guī)則管理。

-安裝`firewalld`：

```

apt-getinstallfirewalld

```

-啟用并啟動(dòng)服務(wù)：

```

systemctlenablefirewalld

systemctlstartfirewalld

```

-開放必要服務(wù)（如HTTP、HTTPS）：

```

firewall-cmd--permanent--add-service=http

firewall-cmd--permanent--add-service=https

firewall-cmd--reload

```

-使用`iptables`作為備份方案（示例）：

-清空現(xiàn)有規(guī)則：

```

iptables-F

```

-設(shè)置默認(rèn)策略為DROP，僅允許本地回環(huán)接口：

```

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

-允許SSH連接：

```

iptables-AINPUT-ptcp--dport22-jACCEPT

```

-保存規(guī)則：

```

iptables-save>/etc/iptables/rules.v4

```

2.拒絕所有未知連接：

-確保所有非授權(quán)流量被阻斷。

-在`iptables`中添加拒絕所有入站連接的規(guī)則：

```

iptables-AINPUT-jREJECT

```

-在`firewalld`中，可通過區(qū)域設(shè)置（如`DROP`區(qū)域）實(shí)現(xiàn)類似效果。

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-強(qiáng)制公鑰認(rèn)證，提高登錄安全性。

-編輯`/etc/ssh/sshd_config`，修改相關(guān)配置：

```

PasswordAuthenticationno

PermitEmptyPasswordsno

```

-確保公鑰認(rèn)證可用：

```

PubkeyAuthenticationyes

AuthorizedKeysFile.ssh/authorized_keys

```

-重啟SSH服務(wù)：

```

systemctlrestartsshd

```

2.限制登錄IP：

-僅允許特定IP段登錄，降低暴力破解風(fēng)險(xiǎn)。

-使用`iptables`或`firewalld`限制IP：

-`firewalld`示例：

```

firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'

firewall-cmd--reload

```

-`iptables`示例：

```

iptables-AINPUT-ptcp-s/24--dport22-jACCEPT

iptables-AINPUT-ptcp--dport22-jDROP

```

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表，防止敏感文件泄露。

-Nginx配置：

```

location/{

autoindexoff;

}

```

-Apache配置：

```

<Directory/>

Options-Indexes

</Directory>

```

-強(qiáng)制HTTPS，加密傳輸數(shù)據(jù)。

-配置HTTP重定向到HTTPS：

```

Nginx示例

server{

listen80;

server_name;

return301https://$server_name$request_uri;

}

```

2.文件權(quán)限：

-限制敏感文件訪問權(quán)限。

-確保Web用戶（如`www-data`）無法讀取`/etc/passwd`：

```

chmod400/etc/passwd

```

-配置Web根目錄權(quán)限：

```

find/var/www/html-typed-execchmod750{}\;

find/var/www/html-typef-execchmod640{}\;

```

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-`auditd`可記錄文件訪問、系統(tǒng)調(diào)用等關(guān)鍵事件。

-安裝`auditd`：

```

apt-getinstallauditd

```

-添加審計(jì)規(guī)則（如：監(jiān)控`/etc/passwd`的修改）：

```

auditctl-w/etc/passwd-pwarx-kuser_mod

```

-查看審計(jì)日志：

```

ausearch-kuser_mod

```

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`等工具實(shí)時(shí)監(jiān)控系統(tǒng)資源使用情況。

-安裝`htop`：

```

apt-getinstallhtop

```

-使用`htop`監(jiān)控進(jìn)程和資源：

```

htop

```

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

-使用`rsync`備份到遠(yuǎn)程服務(wù)器：

```

rsync-avz/etc/user@remote_host:/backup/etc

```

-使用`crontab`定時(shí)備份：

```

編輯crontab

crontab-e

添加以下行，每日凌晨1點(diǎn)備份

01rsync-avz/etc/user@remote_host:/backup/etc

```

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP。

-安裝`fail2ban`：

```

apt-getinstallfail2ban

```

-配置SSH保護(hù)（編輯`/etc/fail2ban/jail.local`）：

```

[sshd]

enabled=true

port=22

filter=sshd

logpath=/var/log/auth.log

maxretry=3

findtime=10m

bantime=1h

```

-重啟`fail2ban`服務(wù)：

```

systemctlrestartfail2ban

```

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。此外，應(yīng)保持對(duì)最新安全漏洞的關(guān)注，及時(shí)更新系統(tǒng)補(bǔ)丁。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制（如：`userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate`）。

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求（如：最小長(zhǎng)度12位，必須包含大小寫字母和數(shù)字）。

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginno`改為`no`。

2.禁用默認(rèn)賬戶：

-刪除或禁用`guest`、`test`等默認(rèn)賬戶（如：`userdelguest`）。

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新（如：`/etc/apt/apt.conf.d/50unattended-upgrades`配置自動(dòng)安裝安全補(bǔ)丁）。

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，定期審計(jì)。

```

/etc/rsyslog.conf示例

.@00

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-使用`firewalld`默認(rèn)策略（如：`firewall-cmd--permanent--add-service=http`開放HTTP服務(wù)）。

-限制入站端口，僅開放必要端口（如：22、80、443）。

2.拒絕所有未知連接：

-`iptables`默認(rèn)拒絕策略：

```

filter

:INPUTDROP[0:0]

:FORWARDDROP[0:0]

:OUTPUTACCEPT[0:0]

-AINPUT-ilo-jACCEPT

-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-`sshd_config`中設(shè)置`PasswordAuthenticationno`，強(qiáng)制公鑰認(rèn)證。

2.限制登錄IP：

-使用`iptables`或`firewalld`僅允許特定IP段登錄（如：`firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'`）。

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表：`DirectoryListingOff`。

-強(qiáng)制HTTPS（如：配置HTTP重定向到`https://`）。

2.文件權(quán)限：

-限制敏感文件訪問（如：`/etc/passwd`不可被Web用戶讀?。?。

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-啟用審計(jì)模塊（如：`auditctl-w/etc/passwd-pwarx-kuser_mod`）。

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`定期檢查CPU、內(nèi)存使用情況。

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP（如：配置`jail.conf`封禁SSH暴力破解IP）。

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制。

-示例配置：

```

允許用戶user在不輸入密碼的情況下執(zhí)行所有管理員命令

userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate,/usr/bin/systemctlrestart

限制用戶admin僅能管理網(wǎng)絡(luò)服務(wù)

adminALL=(root)/usr/sbin/ufw,/usr/sbin/iptables

```

-確保所有用戶家目錄權(quán)限為750，且其他用戶無法寫入：

```

find/home-typed-execchmod750{}\;

find/home-typef-execchmod640{}\;

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求。

-示例配置：

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

-`pam_pwquality`參數(shù)說明：

-`retry=3`：允許重試3次失敗后報(bào)錯(cuò)。

-`minlen=12`：密碼最小長(zhǎng)度12位。

-`difok=3`：新密碼必須與舊密碼有至少3個(gè)字符差異。

-`ucredit=-1`：至少包含1個(gè)大寫字母。

-`lcredit=-1`：至少包含1個(gè)小寫字母。

-`dcredit=-1`：至少包含1個(gè)數(shù)字。

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginyes`改為`no`或`without-password`。

-示例配置：

```

PermitRootLoginno

```

-重啟SSH服務(wù)以應(yīng)用更改：

```

systemctlrestartsshd

```

2.禁用默認(rèn)賬戶：

-默認(rèn)賬戶通常具有高風(fēng)險(xiǎn)，應(yīng)全部刪除或禁用。

-列出所有系統(tǒng)用戶：

```

getentpasswd|cut-d:-f1

```

-刪除或禁用默認(rèn)賬戶（如：`userdelguest`）。

-對(duì)于SUID/SGID賬戶（如：`bin`、`sys`），可通過`passwd`命令鎖定賬戶：

```

passwd-lbin

```

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新，減少人為疏漏。

-編輯`/etc/apt/apt.conf.d/50unattended-upgrades`，啟用自動(dòng)更新：

```

//以下為示例配置

APT::Periodic::Update-Package-Lists"1";

APT::Periodic::Unattended-Upgrade"1";

APT::Periodic::Unattended-Upgrade::MinimalSteps"1";

APT::Periodic::Unattended-Upgrade::Install-Recommends"false";

```

-安裝`unattended-upgrades`：

```

apt-getinstallunattended-upgrades

```

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，便于集中管理。

-編輯`/etc/rsyslog.conf`，添加日志轉(zhuǎn)發(fā)規(guī)則：

```

.@00;

```

-重啟`rsyslog`服務(wù)：

```

systemctlrestartrsyslog

```

-驗(yàn)證日志轉(zhuǎn)發(fā)是否生效：

```

tail-f/var/log/syslog

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-推薦使用`firewalld`，因其支持動(dòng)態(tài)規(guī)則管理。

-安裝`firewalld`：

```

apt-getinstallfirewalld

```

-啟用并啟動(dòng)服務(wù)：

```

systemctlenablefirewalld

systemctlstartfirewalld

```

-開放必要服務(wù)（如HTTP、HTTPS）：

```

firewall-cmd--permanent--add-service=http

firewall-cmd--permanent--add-service=https

firewall-cmd--reload

```

-使用`iptables`作為備份方案（示例）：

-清空現(xiàn)有規(guī)則：

```

iptables-F

```

-設(shè)置默認(rèn)策略為DROP，僅允許本地回環(huán)接口：

```

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

-允許SSH連接：

```

iptables-AINPUT-ptcp--dport22-jACCEPT

```

-保存規(guī)則：

```

iptables-save>/etc/iptables/rules.v4

```

2.拒絕所有未知連接：

-確保所有非授權(quán)流量被阻斷。

-在`iptables`中添加拒絕所有入站連接的規(guī)則：

```

iptables-AINPUT-jREJECT

```

-在`firewalld`中，可通過區(qū)域設(shè)置（如`DROP`區(qū)域）實(shí)現(xiàn)類似效果。

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-強(qiáng)制公鑰認(rèn)證，提高登錄安全性。

-編輯`/etc/ssh/sshd_config`，修改相關(guān)配置：

```

PasswordAuthenticationno

PermitEmptyPasswordsno

```

-確保公鑰認(rèn)證可用：

```

PubkeyAuthenticationyes

AuthorizedKeysFile.ssh/authorized_keys

```

-重啟SSH服務(wù)：

```

systemctlrestartsshd

```

2.限制登錄IP：

-僅允許特定IP段登錄，降低暴力破解風(fēng)險(xiǎn)。

-使用`iptables`或`firewalld`限制IP：

-`firewalld`示例：

```

firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'

firewall-cmd--reload

```

-`iptables`示例：

```

iptables-AINPUT-ptcp-s/24--dport22-jACCEPT

iptables-AINPUT-ptcp--dport22-jDROP

```

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表，防止敏感文件泄露。

-Nginx配置：

```

location/{

autoindexoff;

}

```

-Apache配置：

```

<Directory/>

Options-Indexes

</Directory>

```

-強(qiáng)制HTTPS，加密傳輸數(shù)據(jù)。

-配置HTTP重定向到HTTPS：

```

Nginx示例

server{

listen80;

server_name;

return301https://$server_name$request_uri;

}

```

2.文件權(quán)限：

-限制敏感文件訪問權(quán)限。

-確保Web用戶（如`www-data`）無法讀取`/etc/passwd`：

```

chmod400/etc/passwd

```

-配置Web根目錄權(quán)限：

```

find/var/www/html-typed-execchmod750{}\;

find/var/www/html-typef-execchmod640{}\;

```

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-`auditd`可記錄文件訪問、系統(tǒng)調(diào)用等關(guān)鍵事件。

-安裝`auditd`：

```

apt-getinstallauditd

```

-添加審計(jì)規(guī)則（如：監(jiān)控`/etc/passwd`的修改）：

```

auditctl-w/etc/passwd-pwarx-kuser_mod

```

-查看審計(jì)日志：

```

ausearch-kuser_mod

```

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`等工具實(shí)時(shí)監(jiān)控系統(tǒng)資源使用情況。

-安裝`htop`：

```

apt-getinstallhtop

```

-使用`htop`監(jiān)控進(jìn)程和資源：

```

htop

```

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

-使用`rsync`備份到遠(yuǎn)程服務(wù)器：

```

rsync-avz/etc/user@remote_host:/backup/etc

```

-使用`crontab`定時(shí)備份：

```

編輯crontab

crontab-e

添加以下行，每日凌晨1點(diǎn)備份

01rsync-avz/etc/user@remote_host:/backup/etc

```

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP。

-安裝`fail2ban`：

```

apt-getinstallfail2ban

```

-配置SSH保護(hù)（編輯`/etc/fail2ban/jail.local`）：

```

[sshd]

enabled=true

port=22

filter=sshd

logpath=/var/log/auth.log

maxretry=3

findtime=10m

bantime=1h

```

-重啟`fail2ban`服務(wù)：

```

systemctlrestartfail2ban

```

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。此外，應(yīng)保持對(duì)最新安全漏洞的關(guān)注，及時(shí)更新系統(tǒng)補(bǔ)丁。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制（如：`userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate`）。

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求（如：最小長(zhǎng)度12位，必須包含大小寫字母和數(shù)字）。

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginno`改為`no`。

2.禁用默認(rèn)賬戶：

-刪除或禁用`guest`、`test`等默認(rèn)賬戶（如：`userdelguest`）。

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新（如：`/etc/apt/apt.conf.d/50unattended-upgrades`配置自動(dòng)安裝安全補(bǔ)丁）。

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，定期審計(jì)。

```

/etc/rsyslog.conf示例

.@00

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-使用`firewalld`默認(rèn)策略（如：`firewall-cmd--permanent--add-service=http`開放HTTP服務(wù)）。

-限制入站端口，僅開放必要端口（如：22、80、443）。

2.拒絕所有未知連接：

-`iptables`默認(rèn)拒絕策略：

```

filter

:INPUTDROP[0:0]

:FORWARDDROP[0:0]

:OUTPUTACCEPT[0:0]

-AINPUT-ilo-jACCEPT

-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-`sshd_config`中設(shè)置`PasswordAuthenticationno`，強(qiáng)制公鑰認(rèn)證。

2.限制登錄IP：

-使用`iptables`或`firewalld`僅允許特定IP段登錄（如：`firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'`）。

（二）Web服務(wù)安全

1.Nginx/Apache配置：

-禁用目錄列表：`DirectoryListingOff`。

-強(qiáng)制HTTPS（如：配置HTTP重定向到`https://`）。

2.文件權(quán)限：

-限制敏感文件訪問（如：`/etc/passwd`不可被Web用戶讀?。?。

---

五、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)

（一）實(shí)時(shí)監(jiān)控

1.使用`auditd`記錄關(guān)鍵操作：

-啟用審計(jì)模塊（如：`auditctl-w/etc/passwd-pwarx-kuser_mod`）。

2.監(jiān)控系統(tǒng)資源：

-使用`top`、`htop`定期檢查CPU、內(nèi)存使用情況。

（二）應(yīng)急處理

1.備份關(guān)鍵配置：

-定期備份`/etc`目錄和重要數(shù)據(jù)。

2.入侵檢測(cè)：

-部署`fail2ban`自動(dòng)封禁惡意IP（如：配置`jail.conf`封禁SSH暴力破解IP）。

---

六、總結(jié)

Linux系統(tǒng)安全加固是一個(gè)持續(xù)的過程，需要結(jié)合實(shí)際業(yè)務(wù)需求動(dòng)態(tài)調(diào)整。通過嚴(yán)格執(zhí)行上述措施，可以有效降低系統(tǒng)風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定運(yùn)行。建議定期進(jìn)行安全審計(jì)，確保加固策略的有效性。

一、概述

Linux系統(tǒng)安全加固是保障系統(tǒng)穩(wěn)定運(yùn)行和信息安全的重要措施。通過一系列配置和優(yōu)化，可以有效提升系統(tǒng)的抗攻擊能力，降低安全風(fēng)險(xiǎn)。本細(xì)則旨在提供一套系統(tǒng)化的安全加固方案，涵蓋用戶管理、系統(tǒng)配置、網(wǎng)絡(luò)服務(wù)優(yōu)化、系統(tǒng)監(jiān)控與應(yīng)急響應(yīng)等方面，確保Linux系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性。

---

二、用戶管理加固

（一）用戶權(quán)限控制

1.最小權(quán)限原則：為每個(gè)用戶分配完成工作所需的最小權(quán)限，避免權(quán)限濫用。

-使用`sudo`代替直接`root`登錄，限制`sudo`用戶列表。

-通過`visudo`命令編輯`/etc/sudoers`文件，設(shè)置精細(xì)權(quán)限控制。

-示例配置：

```

允許用戶user在不輸入密碼的情況下執(zhí)行所有管理員命令

userALL=(ALL)NOPASSWD:/usr/bin/apt-getupdate,/usr/bin/systemctlrestart

限制用戶admin僅能管理網(wǎng)絡(luò)服務(wù)

adminALL=(root)/usr/sbin/ufw,/usr/sbin/iptables

```

-確保所有用戶家目錄權(quán)限為750，且其他用戶無法寫入：

```

find/home-typed-execchmod750{}\;

find/home-typef-execchmod640{}\;

2.密碼策略強(qiáng)化：

-編輯`/etc/pam.d/common-password`，啟用`pam_pwquality`模塊，設(shè)置密碼復(fù)雜度要求。

-示例配置：

```

passwordrequisitepam_pwquality.soretry=3minlen=12difok=3ucredit=-1lcredit=-1dcredit=-1

```

-`pam_pwquality`參數(shù)說明：

-`retry=3`：允許重試3次失敗后報(bào)錯(cuò)。

-`minlen=12`：密碼最小長(zhǎng)度12位。

-`difok=3`：新密碼必須與舊密碼有至少3個(gè)字符差異。

-`ucredit=-1`：至少包含1個(gè)大寫字母。

-`lcredit=-1`：至少包含1個(gè)小寫字母。

-`dcredit=-1`：至少包含1個(gè)數(shù)字。

（二）賬戶安全

1.禁用root遠(yuǎn)程登錄：

-編輯`/etc/ssh/sshd_config`，將`PermitRootLoginyes`改為`no`或`without-password`。

-示例配置：

```

PermitRootLoginno

```

-重啟SSH服務(wù)以應(yīng)用更改：

```

systemctlrestartsshd

```

2.禁用默認(rèn)賬戶：

-默認(rèn)賬戶通常具有高風(fēng)險(xiǎn)，應(yīng)全部刪除或禁用。

-列出所有系統(tǒng)用戶：

```

getentpasswd|cut-d:-f1

```

-刪除或禁用默認(rèn)賬戶（如：`userdelguest`）。

-對(duì)于SUID/SGID賬戶（如：`bin`、`sys`），可通過`passwd`命令鎖定賬戶：

```

passwd-lbin

```

---

三、系統(tǒng)配置加固

（一）系統(tǒng)更新與日志管理

1.自動(dòng)更新配置：

-使用`unattended-upgrades`實(shí)現(xiàn)系統(tǒng)自動(dòng)補(bǔ)丁更新，減少人為疏漏。

-編輯`/etc/apt/apt.conf.d/50unattended-upgrades`，啟用自動(dòng)更新：

```

//以下為示例配置

APT::Periodic::Update-Package-Lists"1";

APT::Periodic::Unattended-Upgrade"1";

APT::Periodic::Unattended-Upgrade::MinimalSteps"1";

APT::Periodic::Unattended-Upgrade::Install-Recommends"false";

```

-安裝`unattended-upgrades`：

```

apt-getinstallunattended-upgrades

```

2.日志監(jiān)控：

-配置`rsyslog`或`syslog-ng`轉(zhuǎn)發(fā)日志至中央日志服務(wù)器，便于集中管理。

-編輯`/etc/rsyslog.conf`，添加日志轉(zhuǎn)發(fā)規(guī)則：

```

.@00;

```

-重啟`rsyslog`服務(wù)：

```

systemctlrestartrsyslog

```

-驗(yàn)證日志轉(zhuǎn)發(fā)是否生效：

```

tail-f/var/log/syslog

```

（二）防火墻配置

1.啟用`iptables`或`firewalld`：

-推薦使用`firewalld`，因其支持動(dòng)態(tài)規(guī)則管理。

-安裝`firewalld`：

```

apt-getinstallfirewalld

```

-啟用并啟動(dòng)服務(wù)：

```

systemctlenablefirewalld

systemctlstartfirewalld

```

-開放必要服務(wù)（如HTTP、HTTPS）：

```

firewall-cmd--permanent--add-service=http

firewall-cmd--permanent--add-service=https

firewall-cmd--reload

```

-使用`iptables`作為備份方案（示例）：

-清空現(xiàn)有規(guī)則：

```

iptables-F

```

-設(shè)置默認(rèn)策略為DROP，僅允許本地回環(huán)接口：

```

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPT

```

-允許SSH連接：

```

iptables-AINPUT-ptcp--dport22-jACCEPT

```

-保存規(guī)則：

```

iptables-save>/etc/iptables/rules.v4

```

2.拒絕所有未知連接：

-確保所有非授權(quán)流量被阻斷。

-在`iptables`中添加拒絕所有入站連接的規(guī)則：

```

iptables-AINPUT-jREJECT

```

-在`firewalld`中，可通過區(qū)域設(shè)置（如`DROP`區(qū)域）實(shí)現(xiàn)類似效果。

---

四、網(wǎng)絡(luò)服務(wù)加固

（一）SSH安全配置

1.禁用密碼認(rèn)證：

-強(qiáng)制公鑰認(rèn)證，提高登錄安全性。

-編輯`/etc/ssh/sshd_config`，修改相關(guān)配置：

```

PasswordAuthenticationno

PermitEmptyPasswordsno

```

-確保公鑰認(rèn)證可用：

```

PubkeyAuthenticationyes

AuthorizedKeysFile.ssh/authorized_keys

```

-重啟SSH服務(wù)：

```

systemctlrestartsshd

```

2.限制登錄IP：

-僅允許特定IP段登錄，降低暴力破解風(fēng)險(xiǎn)。

-使用`iptables`或`firewalld`限制IP：

-`firewalld`示例：

```

firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="22"accept'

firewall-cmd--reload

```

-`iptables`示例：

```

iptables-AINPUT-ptcp-s/24--dport22-jACCEPT

iptables-AINPUT-ptcp--dport22-jDROP

```