Linux基线加固需贯彻“最小权限、默认拒绝、持续验证”原则，覆盖账号认证、服务端口、文件审计、更新日志四大维度：禁用root远程登录、强化密码策略与SSH密钥管理；关闭非必要服务、限制监听地址、严控防火墙白名单；严格设置关键文件权限、启用auditd监控敏感操作；人工评估升级、日志集中外发并保留90天。

Linux系统基线加固不是装几个工具、改几行配置就完事，核心是围绕“最小权限、默认拒绝、持续验证”三个原则，把企业安全策略真正落到每一台服务器的启动项、用户行为、服务暴露面和日志反馈上。

账号与认证：砍掉默认风险入口

很多入侵始于root远程登录或弱密码账户。必须禁用root直接SSH登录，强制使用普通用户+sudo；删除或锁定无用系统账户（如games、lp、sync）；设置密码复杂度策略（/etc/pam.d/common-password中启用pam_pwquality.so），并限制登录失败次数（faillock模块）。对于批量管理场景，统一使用SSH密钥认证，私钥必须设密码保护，公钥部署后立即关闭密码登录（PasswordAuthentication no）。

服务与端口：只开该开的，关掉所有默认“后门”

CentOS/RHEL默认启用cups、avahi、rpcbind等非必要服务，Ubuntu常带snapd、whoopsie。用systemctl list-unit-files --type=service | grep enabled筛出启用项，逐个确认业务依赖性。非必需服务一律stop + disable；监听地址限定为127.0.0.1（如MySQL bind-address=127.0.0.1）；对外服务严格走防火墙白名单（firewalld或iptables），禁止全网段开放（0.0.0.0/0）。特别注意Docker默认监听unix:///var/run/docker.sock——若非运维需要，应移除docker组对普通用户的授权。

文件权限与审计：让异常操作“留痕可查”

/etc/shadow必须600，/etc/passwd 644，/boot分区独立且只读（mount -o remount,ro /boot）；关键二进制文件（/bin/su、/usr/bin/sudo）设不可写不可执行位（chattr +a /usr/bin/sudo不推荐，更稳妥的是用auditd监控执行事件）。启用auditd服务，重点监控：用户切换（execve with /bin/su or /bin/bash）、敏感文件修改（/etc/passwd、/etc/shadow、/etc/sudoers）、计划任务变更（/var/spool/cron/、/etc/crontab）。规则写入/etc/audit/rules.d/，避免重启失效。

更新与日志：把补丁节奏和日志流向管起来

禁用自动更新（避免未知变更引发故障），改为每月固定窗口执行yum update --security（RHEL/CentOS）或apt list --upgradable && apt-get upgrade -s（Debian/Ubuntu）评估影响后再人工升级。所有日志必须集中外发（rsyslog或journalctl转发至SIEM平台），本地保留至少90天，/var/log目录配额限制防占满磁盘。关键动作（如sudo执行、用户登录登出、SSH密钥使用）需在/var/log/secure或journald中确保有完整时间戳、源IP、命令行参数记录。

不复杂但容易忽略。

# mysql  # linux  # word  # centos  # docker  # 防火墙  # 端口  # ubuntu  # 工具  # ai  # unix  # bash  # 命令行参数  # var  # 事件  # ssh  # debian  # 普通用户  # 的是  # 几个  # 远程登录  # 一台  # 重启  # 用户登录  # 命令行  # 移除  # 自动更新 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 西安市网站制作公司,哪个相亲网站比较好?西安比较好的相亲网站？  使用豆包 AI 辅助进行简单网页 HTML 结构设计  韩国网站服务器搭建指南：VPS选购、域名解析与DNS配置推荐  Laravel队列由Redis驱动怎么配置_Laravel Redis队列使用教程  Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】  简单实现Android验证码  php结合redis实现高并发下的抢购、秒杀功能的实例  三星、SK海力士获美批准：可向中国出口芯片制造设备  Linux网络带宽限制_tc配置实践解析【教程】  Laravel用户密码怎么加密_Laravel Hash门面使用教程  Laravel如何生成URL和重定向？（路由助手函数）  Laravel广播系统如何实现实时通信_Laravel Reverb与WebSockets实战教程  公司网站制作需要多少钱,找人做公司网站需要多少钱？  如何为不同团队 ID 动态生成多个“认领值班”按钮  Laravel中的withCount方法怎么高效统计关联模型数量  JavaScript模板引擎Template.js使用详解  Laravel如何连接多个数据库_Laravel多数据库连接配置与切换教程  教学论文网站制作软件有哪些,写论文用什么软件 ？  Laravel如何使用Blade模板引擎？（完整语法和示例）  Python并发异常传播_错误处理解析【教程】  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  如何快速搭建高效简练网站？  微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】  php静态变量怎么调试_php静态变量作用域调试技巧【解答】  Javascript中的事件循环是如何工作的_如何利用Javascript事件循环优化异步代码？  如何在景安服务器上快速搭建个人网站？  Laravel如何配置中间件Middleware_Laravel自定义中间件拦截请求与权限校验【步骤】  LinuxCD持续部署教程_自动发布与回滚机制  Laravel如何配置和使用缓存？（Redis代码示例）  JS中对数组元素进行增删改移的方法总结  Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率  如何生成腾讯云建站专用兑换码？  Win11怎么关闭透明效果_Windows11辅助功能视觉效果设置  C++时间戳转换成日期时间的步骤和示例代码  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  网站设计制作书签怎么做,怎样将网页添加到书签/主页书签/桌面？  如何在建站之星网店版论坛获取技术支持？  Laravel如何安装使用Debugbar工具栏_Laravel性能调试与SQL监控插件【步骤】  JavaScript中的标签模板是什么_它如何扩展字符串功能  Java垃圾回收器的方法和原理总结  Win11任务栏卡死怎么办 Windows11任务栏无反应解决方法【教程】  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  Laravel如何获取当前用户信息_Laravel Auth门面获取用户ID  如何在自有机房高效搭建专业网站？  如何用已有域名快速搭建网站？  活动邀请函制作网站有哪些,活动邀请函文案？  Laravel如何处理文件上传_Laravel Storage门面实现文件存储与管理  javascript事件捕获机制【深入分析IE和DOM中的事件模型】  敲碗10年！Mac系列传将迎来「触控与联网」双革新  如何在宝塔面板中创建新站点？