Linux系统加固围绕最小权限、纵深防御、持续监控三大原则，通过禁用非必要账户与服务、强化SSH认证、精简端口、收紧文件权限、启用日志审计与入侵检测实现。

Linux系统加固不是堆砌工具，而是围绕“最小权限、纵深防御、持续监控”三个核心原则做减法和加固。重点不在功能多全，而在攻击面够小、配置够严、响应够快。

账户与认证安全

默认账户和弱密码是入侵第一跳板。必须清理或禁用所有非必要用户，尤其是root直接登录。

• 执行 sudo passwd -l root 禁用root密码登录（改用sudo+普通用户）
• 用 sudo usermod -s /usr/sbin/nologin username 禁用仅用于服务的账户交互式登录
• 在 /etc/ssh/sshd_config 中设 PermitRootLogin no、PasswordAuthentication no（启用密钥认证后）
• 安装 faillock（RHEL/CentOS）或 pam_faillock.so（Debian/Ubuntu），限制5次失败后锁定15分钟

服务与端口精简

每多一个运行的服务，就多一个潜在漏洞入口。只开必需端口，关掉所有默认启用但实际不用的服务。

• 用 ss -tuln 或 netstat -tuln 查看监听端口，对照业务确认是否必要
• 停用非必要服务：sudo systemctl disable --now avahi-daemon cupsd rpcbind（常见冗余服务）
• 用 ufw（Ubuntu）或 firewalld（RHEL）设置默认拒绝策略，再按需放行端口（如只允SSH 22、HTTP 80/443）
• 对Web服务，把Nginx/Apache运行用户改为专用低权限用户（如 www-data），禁止其shell访问

文件系统与权限控制

敏感文件被篡改或误读，常导致提权或信息泄露。关键在于权限收紧 + 不可写 + 审计跟踪。

• 加固关键配置文件：sudo chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow；设权限为 644（passwd）或 600（shadow）
• 挂载时启用安全选项：在 /etc/fstab 中为根分区添加 nodev,nosuid,noexec（对/tmp、/var/tmp等临时目录尤其重要）
• 启用 aide（高级入侵检测）定期校验关键文件哈希，初始化后存于只读介质或远程服务器
• 用 chattr +i /etc/passwd 锁定关键文件（需先卸载SELinux/AppArmor冲突项，慎用）

日志与监控不可少

没日志=没证据；不分析=没响应。加固必须包含“可观测性闭环”——记录谁、何时、做了什么。

• 确保 rsyslog 或 syslog-ng 运行，并将日志发往远程服务器（防本地删日志）
• 开启命令审计：在 /etc/audit/rules.d/audit.rules 加入 -a always,exit -F arch=b64 -S execve（记录所有命令执行）
• 每日检查 /var/log/auth.log（Debian）或 /var/log/secure（RHEL）中的异常登录、sudo操作、失败认证
• 部署轻量级IDS如 ossec-hids 或 wazuh，自动告警暴力破解、敏感文件修改、异常进程启动

基本上就这些。不复杂但容易忽略——真正有效的加固，90%靠配置严谨，10%靠工具辅助。上线前跑一遍CIS Benchmark检查清单，比装十个“安全软件”更实在。

# linux  # word  # centos  # node  # apache  # nginx  # app  # 端口  # ubuntu  # 工具  # ai  # 配置文件  # 堆  # var  # http  # ssh  # debian  # 闭环  # 尤其是  # 而在  # 三大  # 误读  # 一遍  # 并将  # 文件系统  # 关键在于  # 就多 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 最好的网站制作公司,网购哪个网站口碑最好，推荐几个？谢谢？  Python自动化办公教程_ExcelWordPDF批量处理案例  EditPlus中的正则表达式实战(6)  如何在建站之星绑定自定义域名？  如何用已有域名快速搭建网站？  PythonWeb开发入门教程_Flask快速构建Web应用  iOS验证手机号的正则表达式  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  教你用AI将一段旋律扩展成一首完整的曲子  如何正确下载安装西数主机建站助手？  如何在云虚拟主机上快速搭建个人网站？  详解一款开源免费的.NET文档操作组件DocX（.NET组件介绍之一）  香港服务器选型指南：免备案配置与高效建站方案解析  购物网站制作费用多少,开办网上购物网站，需要办理哪些手续？  Laravel如何使用Gate和Policy进行授权？（权限控制）  Laravel怎么实现观察者模式Observer_Laravel模型事件监听与解耦开发【指南】  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  详解vue.js组件化开发实践  edge浏览器无法安装扩展 edge浏览器插件安装失败【解决方法】  手机软键盘弹出时影响布局的解决方法  Laravel如何使用集合（Collections）进行数据处理_Laravel Collection常用方法与技巧  PHP正则匹配日期和时间(时间戳转换)的实例代码  Laravel如何编写单元测试和功能测试？（PHPUnit示例）  html5源代码发行怎么设置权限_访问权限控制方法与实践【指南】  如何快速生成凡客建站的专业级图册？  Laravel如何创建自定义Facades？（详细步骤）  Laravel的路由模型绑定怎么用_Laravel Route Model Binding简化控制器逻辑  如何在云服务器上快速搭建个人网站？  如何用低价快速搭建高质量网站？  ChatGPT 4.0官网入口地址 ChatGPT在线体验官网  Javascript中的事件循环是如何工作的_如何利用Javascript事件循环优化异步代码？  Laravel Admin后台管理框架推荐_Laravel快速开发后台工具  Laravel如何与Docker（Sail）协同开发？（环境搭建教程）  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  免费的流程图制作网站有哪些,2025年教师初级职称申报网上流程？  做企业网站制作流程,企业网站制作基本流程有哪些？  北京网页设计制作网站有哪些,继续教育自动播放怎么设置？  音响网站制作视频教程,隆霸音响官方网站？  如何在 Pandas 中基于一列条件计算另一列的分组均值  网站制作报价单模板图片,小松挖机官方网站报价？  如何在阿里云服务器自主搭建网站？  Linux虚拟化技术教程_KVMQEMU虚拟机安装与调优  如何在阿里云完成域名注册与建站？  JS实现鼠标移上去显示图片或微信二维码  ChatGPT常用指令模板大全 新手快速上手的万能Prompt合集  动图在线制作网站有哪些,滑动动图图集怎么做？  LinuxCD持续部署教程_自动发布与回滚机制  软银砸40亿美元收购DigitalBridge 强化AI资料中心布局  零基础网站服务器架设实战：轻量应用与域名解析配置指南  如何使用 Go 正则表达式精准提取括号内首个纯字母标识符（忽略数字与嵌套）