Linux系统加固围绕“最小权限、及时更新、有效监控”三大原则，通过精简服务、强化防火墙与sudo审计、文件完整性校验及禁用危险内核参数等措施实现高效安全管控。

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控”三个核心做减法和管控。以下技巧兼顾实操性和日常效率，避免过度配置拖慢运维节奏。

精简开机服务，关掉不用的监听端口

很多漏洞源于默认开启但实际不用的服务（如telnet、rpcbind、avahi-daemon）。用systemctl list-unit-files --type=service --state=enabled快速查看所有开机自启服务，再结合ss -tuln确认哪些端口真正在监听。

• 停用并禁用无用服务：systemctl stop avahi-daemon && systemctl disable avahi-daemon
• 对不确定的服务，先mask（如systemctl mask rpcbind），避免被其他服务意外拉起
• 防火墙策略优先用ufw简化管理：ufw default deny incoming，再按需ufw allow 22/tcp

限制root权限，强制使用sudo+审计日志

禁止root远程登录、禁用root密码、所有提权操作走sudo——这是最基础也最关键的防线。同时确保命令执行可追溯。

• 编辑/etc/ssh/sshd_config，设PermitRootLogin no，重启sshd
• 运行sudo passwd -l root锁定root密码
• 在/etc/sudoers中启用日志：Defaults logfile="/var/log/sudo.log"，配合sudo tail -f /var/log/sudo.log实时观察提权行为

定期校验关键文件完整性

入侵后常被篡改的是/etc/passwd、/etc/shadow、/bin/ls等系统文件。用轻量工具aide即可完成本地基线比对。

• 安装后初始化数据库：aide --init && cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
• 每周定时检查：0 3 * * 1 /usr/bin/aide --check | mail -s "AIDE Report" admin@local
• 把aide.db.gz备份到离线介质或只读挂载点，防止被攻击者删除或覆盖

关闭危险内核参数，防范常见提权利用

某些内核特性（如user namespaces、BPF JIT）在旧版本中存在稳定提权路径。非必要不开启，尤其在生产服务器上。

• 禁用user namespaces（容器环境除外）：echo 'kernel.unprivileged_userns_clone=0' > /etc/sysctl.d/99-disable-userns.conf
• 关闭BPF JIT编译器：echo 'net.core.bpf_jit_enable=0' >> /etc/sysctl.d/99-disable-bpf-jit.conf
• 加载新配置：sysctl --system，并验证：sysctl kernel.unprivileged_userns_clone

基本上就这些。加固不是一步到位，而是持续做减法、加监控、留痕迹。每次变更前备份配置，每次检查后记录结果，效率自然就上来了。

# linux  # 防火墙  # 端口  # 工具  # ai  # linux系统  # echo  # mail  # 堆  # var  # default  # 数据库  # ssh  # 的是  # 这是  # 离线  # 来了  # 三大  # 重启  # 拉起  # 最关键  # 再按  # 对不 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 香港服务器网站测试全流程：性能评估、SEO加载与移动适配优化  Laravel如何实现文件上传和存储？（本地与S3配置）  Laravel如何使用Spatie Media Library_Laravel图片上传管理与缩略图生成【步骤】  Laravel如何理解并使用服务容器（Service Container）_Laravel依赖注入与容器绑定说明  Laravel怎么防止CSRF攻击_Laravel CSRF保护中间件原理与实践  php嵌入式断网后怎么恢复_php检测网络重连并恢复硬件控制【操作】  Laravel如何为API生成Swagger或OpenAPI文档  如何构建满足综合性能需求的优质建站方案？  PHP怎么接收前端传的文件路径_处理文件路径参数接收方法【汇总】  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  浅谈redis在项目中的应用  网站建设要注意的标准 促进网站用户好感度！  javascript中的try catch异常捕获机制用法分析  如何快速搭建支持数据库操作的智能建站平台？  Laravel如何使用Passport实现OAuth2？（完整配置步骤）  湖南网站制作公司,湖南上善若水科技有限公司做什么的？  百度浏览器ai对话怎么关 百度浏览器ai聊天窗口隐藏  Laravel如何配置Horizon来管理队列？（安装和使用）  高端建站三要素：定制模板、企业官网与响应式设计优化  Python面向对象测试方法_mock解析【教程】  谷歌Google入口永久地址_Google搜索引擎官网首页永久入口  HTML5空格和margin有啥区别_空格与外边距的使用场景【说明】  胶州企业网站制作公司,青岛石头网络科技有限公司怎么样？  如何在Ubuntu系统下快速搭建WordPress个人网站？  网站制作壁纸教程视频,电脑壁纸网站？  Laravel项目如何进行性能优化_Laravel应用性能分析与优化技巧大全  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能  Laravel中间件如何使用_Laravel自定义中间件实现权限控制  大连网站制作公司哪家好一点,大连买房网站哪个好？  如何在沈阳梯子盘古建站优化SEO排名与功能模块？  Windows家庭版如何开启组策略(gpedit.msc)？（安装方法）  JavaScript如何实现类型判断_typeof和instanceof有什么区别  Win11怎么设置虚拟桌面 Win11新建多桌面切换操作【技巧】  ChatGPT 4.0官网入口地址 ChatGPT在线体验官网  深入理解Android中的xmlns:tools属性  bing浏览器学术搜索入口_bing学术文献检索地址  UC浏览器如何设置启动页 UC浏览器启动页设置方法  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  Windows Hello人脸识别突然无法使用  Laravel如何使用Laravel Vite编译前端_Laravel10以上版本前端静态资源管理【教程】  敲碗10年！Mac系列传将迎来「触控与联网」双革新  微信小程序 HTTPS报错整理常见问题及解决方案  Laravel如何设置自定义的日志文件名_Laravel根据日期或用户ID生成动态日志【技巧】  Laravel怎么实现软删除SoftDeletes_Laravel模型回收站功能与数据恢复【步骤】  千库网官网入口推荐 千库网设计创意平台入口  如何在 Python 中将列表项按字母顺序编号（a.、b.、c. …）  开心动漫网站制作软件下载,十分开心动画为何停播？  做企业网站制作流程,企业网站制作基本流程有哪些？  怎么用AI帮你设计一套个性化的手机App图标？  Laravel怎么判断请求类型_Laravel Request isMethod用法