Linux系统加固需理清攻击面、堵住入口、收紧配置。关闭无用服务端口，强化SSH（禁root、密钥登录、改端口），落实最小权限，启用UFW和fail2ban等基础防护，并定期审计更新。

Linux系统加固不是装几个工具就完事，关键是理清攻击面、堵住常见入口、收紧默认配置。下面这些操作覆盖了90%的生产环境高频风险点，按优先级和实操性整理，不堆概念，直接上干货。

关闭无用服务与端口

默认安装常带一堆不用的服务（如telnet、ftp、rpcbind），它们是攻击者第一波扫描目标。先查正在监听的端口和服务：

• netstat -tuln 或 ss -tuln 查看监听端口
• systemctl list-unit-files --type=service | grep enabled 看哪些服务开机自启
• 确认非必要服务（比如cups、avahi-daemon、postfix若不用邮件功能）→ systemctl disable --now cups.service

特别注意：云服务器默认开放22（SSH）和80/443，其他端口一律用防火墙显式放行，别依赖“没开服务就安全”。

强化SSH登录安全

SSH是Linux最常被暴力破解的入口，必须改默认配置：

• 编辑 /etc/ssh/sshd_config，确保以下几项已设：
• PermitRootLogin no（禁root远程直登）
• PasswordAuthentication no（强制密钥登录）
• Port 2222（改非标端口，防脚本扫22）
• MaxAuthTries 3 和 LoginGraceTime 60（限制试错频次与时长）
• 改完运行 systemctl restart sshd，并先用新密钥连通再退出，避免锁死

最小权限原则落地

别让普通用户有sudo权限，也别让服务进程跑在root下：

• 用 usermod -aG sudo username 谨慎加人进sudo组，且配合 visudo 限定命令（如只允许重启nginx）
• Web服务（nginx/apache）用独立低权用户运行：user nginx; 在配置里指定，而非默认用root启worker
• 检查关键目录权限：/etc/shadow 必须是 000 或 400，/etc/passwd 可读但不能写；用 chmod 600 /etc/shadow 修复

启用基础防护层

不用装复杂IDS，Linux自带工具就能挡大部分自动化攻击：

• UFW（Uncomplicated Firewall）：一行启用 ufw enable，默认拒绝入站，再按需放行：ufw allow 2222/tcp
• fail2ban：监控日志自动封IP，装完启动即可生效：apt install fail2ban && systemctl enable --now fail2ban
• Automatic security updates：Ubuntu/Debian开自动更新：apt install unattended-upgrades && dpkg-reconfigure -plow unattended-upgrades

基本上就这些。加固不是一劳永逸，而是定期检查（比如每月跑一次 lynis audit system）、及时关新暴露的端口、不给root密码、不重用密钥——安全不在多，而在稳。

# linux  # word  # apache  # nginx  # 防火墙  # 云服务  # 端口  # ubuntu  # 工具  # ai  # linux系统  # 云服务器  # 堆  # ssh  # debian  # 自动化  # 别让  # 几个  # 就能  # 而在  # 不给  # 自带  # 而非  # 重启  # 若不  # 先用 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 微信小程序 五星评分(包括半颗星评分)实例代码  高防服务器租用如何选择配置与防御等级？  php8.4header发送头信息失败怎么办_php8.4header函数问题解决【解答】  网站制作软件有哪些,制图软件有哪些？  Laravel怎么在Controller之外的地方验证数据  Laravel用户密码怎么加密_Laravel Hash门面使用教程  Laravel怎么配置S3云存储驱动_Laravel集成阿里云OSS或AWS S3存储桶【教程】  悟空识字怎么关闭自动续费_悟空识字取消会员自动扣费步骤  如何用y主机助手快速搭建网站？  如何在不使用负向后查找的情况下匹配特定条件前的换行符  香港服务器选型指南：免备案配置与高效建站方案解析  Python函数文档自动校验_规范解析【教程】  如何正确选择百度移动适配建站域名？  Python企业级消息系统教程_KafkaRabbitMQ高并发应用  Laravel如何实现本地化和多语言支持_Laravel多语言配置与翻译文件管理  如何在自有机房高效搭建专业网站？  如何在IIS服务器上快速部署高效网站？  Laravel如何优雅地处理服务层_在Laravel中使用Service层和Repository层  北京网站制作的公司有哪些,北京白云观官方网站？  Laravel如何使用软删除（Soft Deletes）功能_Eloquent软删除与数据恢复方法  标题：Vue + Vuex + JWT 身份认证的正确实践与常见误区解析  Laravel怎么实现一对多关联查询_Laravel Eloquent模型关系定义与预加载【实战】  php读取心率传感器数据怎么弄_php获取max30100的心率值【指南】  Laravel如何集成Inertia.js与Vue/React？（安装配置）  在线教育网站制作平台,山西立德教育官网？  html文件怎么打开证书错误_https协议的html打开提示不安全【指南】  WordPress 子目录安装中正确处理脚本路径的完整指南  网站制作报价单模板图片,小松挖机官方网站报价？  使用豆包 AI 辅助进行简单网页 HTML 结构设计  Claude怎样写约束型提示词_Claude约束提示词写法【教程】  如何用西部建站助手快速创建专业网站？  详解Android——蓝牙技术 带你实现终端间数据传输  1688铺货到淘宝怎么操作 1688一键铺货到自己店铺详细步骤  laravel怎么在请求结束后执行任务（Terminable Middleware）_laravel Terminable Middleware请求结束任务执行方法  小视频制作网站有哪些,有什么看国内小视频的网站，求推荐？  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  Laravel如何将应用部署到生产服务器_Laravel生产环境部署流程  Laravel Eloquent：优雅地将关联模型字段扁平化到主模型中  Win11怎么恢复误删照片_Win11数据恢复工具使用【推荐】  如何在IIS中新建站点并配置端口与物理路径？  如何用好域名打造高点击率的自主建站？  Win11怎样安装网易有道词典_Win11安装词典教程【步骤】  PHP 500报错的快速解决方法  如何自定义建站之星模板颜色并下载新样式？  Windows家庭版如何开启组策略(gpedit.msc)？（安装方法）  如何基于云服务器快速搭建个人网站？  jquery插件bootstrapValidator表单验证详解  Laravel怎么导出Excel文件_Laravel Excel插件使用教程  消息称 OpenAI 正研发的神秘硬件设备或为智能笔，富士康代工