# linux server security hardening engineering > 暂无摘要 ## 元数据 - 路径: /posts/2025/11/07/linux-server-security-hardening-engineering/ - 发布时间: 2025-11-07 - 分类: [general](/categories/general/) - 站点: https://blog.hotdry.top ## 正文 # 从零构建Linux服务器安全加固工程实践 date: 2025-11-07 excerpt: "从零构建Linux服务器安全加固工程实践:涵盖SSH防护、系统更新、用户权限、文件权限、防火墙配置等核心安全控制点,提供可复现的安全配置脚本和最佳实践。" category: "security" --- # 从零构建Linux服务器安全加固工程实践 ## 前言 在当今网络环境下,服务器安全不再是"可选项",而是"生死线"。一台暴露在公网的Linux服务器,可能在上线5分钟内就遭遇暴力破解、挖矿木马或勒索病毒。绝大多数安全事件源于基础配置不当和弱密码。据《2024数据泄露调查报告》,83%的云服务器入侵源于配置不当和弱密码。 本文将带你进行全面的Linux安全加固工程实践,涵盖SSH安全配置、防火墙策略、用户权限最小化、关键服务保护等核心内容,助你构建坚不可摧的生产环境防线。 ## 一、安全加固核心原则 在动手之前,先牢记三大安全原则: 1. **最小权限**:用户和服务只拥有完成任务所需的最小权限 2. **纵深防御**:多层防护(网络层、系统层、应用层) 3. **默认拒绝**:未明确允许的即为禁止(尤其适用于防火墙) > **提示**:安全是持续过程,不是一次性任务。 ## 二、SSH安全加固:第一道防线 SSH是远程管理的核心,也是攻击者的首要目标。90%的入侵始于SSH暴力破解。 ### 1. 禁用root直接登录(必做!) ```bash # 备份配置 sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # 编辑配置文件 sudo vim /etc/ssh/sshd_config ``` 修改以下配置: ```conf PermitRootLogin no ``` 重启后,必须通过普通用户`sudo su -`切换root。 ### 2. 禁用密码登录,启用密钥认证(推荐) ```conf PasswordAuthentication no PubkeyAuthentication yes ``` **配置流程**: ```bash # 本地生成密钥 ssh-keygen -t rsa -b 4096 -C "admin@company.com" # 上传公钥到服务器 ssh-copy-id user@server_ip ``` **优势**:几乎杜绝暴力破解。 ### 3. 修改默认SSH端口(可选但推荐) ```conf Port 2222 ``` 避免22端口被扫描器重点关照。需同步在防火墙放行新端口。 > **警告**:修改后确保新端口能访问,避免被锁在服务器外! ### 4. 限制登录用户和来源IP ```conf AllowUsers alice bob@192.168.1.0/24 ``` 只允许alice和来自内网的bob登录。 ### 5. 设置登录超时与失败锁定 ```conf ClientAliveInterval 300 ClientAliveCountMax 2 MaxAuthTries 3 ``` 结合fail2ban自动封禁暴力破解IP: ```bash # Debian/Ubuntu sudo apt install fail2ban # CentOS/RHEL sudo yum install fail2ban ``` ### 6. 重启SSH服务 ```bash sudo systemctl restart sshd # 或 sudo service ssh restart ``` ## 三、防火墙配置:网络层防护 防火墙是网络层的"守门人",必须配置为"默认拒绝"模式。 ### 方案一:firewalld(CentOS/RHEL/Fedora推荐) ```bash # 查看状态 sudo systemctl status firewalld sudo firewall-cmd --state # 启动并开机自启 sudo systemctl enable firewalld --now # 放行SSH(2222端口) sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --permanent --add-service=ssh # 放行HTTP/HTTPS sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --permanent --add-service=https # 重新加载 sudo firewall-cmd --reload # 查看规则 firewall-cmd --list-all ``` ### 方案二:ufw(Ubuntu简化防火墙) ```bash # 安装 sudo apt install ufw # 基础配置 sudo ufw allow 2222/tcp # SSH端口 sudo ufw allow http sudo ufw allow https sudo ufw deny out to any # 默认拒绝出站连接 # 启用 sudo ufw status sudo ufw enable ``` ### 方案三:iptables(通用,Debian/Ubuntu可用) ```bash # 清空现有规则(谨慎!) sudo iptables -F sudo iptables -X # 设置默认策略(默认拒绝) sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT # 允许本地回环 sudo iptables -A INPUT -i lo -j ACCEPT # 允许已建立的连接 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 放行SSH(2222端口) sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT # 放行HTTP/HTTPS sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 保存规则(CentOS) sudo service iptables save ``` ## 四、用户与权限最小化 ### 1. 删除或禁用无用账户 ```bash # 查看用户列表 cat /etc/passwd cat /etc/group # 删除不需要的系统用户 userdel sync userdel shutdown userdel halt userdel uucp userdel operator userdel games userdel gopher # 删除不需要的组 groupdel adm groupdel lp groupdel games groupdel dip ``` ### 2. 创建并配置新用户 ```bash # 创建用户 adduser username passwd username # 赋予sudo权限 usermod -aG sudo username # 或精细化sudo权限 sudo visudo # 添加:username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx ``` ### 3. 强制使用强密码 编辑PAM配置文件启用密码策略: ```bash # Ubuntu/Debian sudo vim /etc/pam.d/common-password # CentOS/RHEL sudo vim /etc/pam.d/system-auth # 添加密码策略 password required pam_cracklib.so retry=3 minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 ``` ### 4. 最小化sudo权限 ```bash # 查看当前sudo配置 sudo cat /etc/sudoers sudo visudo # 防止通过sudo su获取root shell Defaults !shell_escape # 记录sudo操作日志(默认在/var/log/auth.log或/var/log/secure) ``` ## 五、关键文件与目录保护 ### 1. 锁定关键配置文件 ```bash # 锁定系统文件防止修改 chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow # 查看文件属性 lsattr /etc/passwd # 如需修改,先解锁 chattr -i /etc/passwd ``` 使用`chattr +i`后,文件将无法被修改、删除或重命名,即使是root用户。 ### 2. 设置文件权限 ```bash # 保护重要系统文件 chmod 600 /etc/shadow chmod 644 /etc/passwd chmod 644 /etc/group chmod 600 /etc/ssh/sshd_config # 设置SSH目录权限 chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys ``` ### 3. 禁用不必要的服务 ```bash # 查看运行的服务 systemctl list-units --type=service --state=running # 关闭不需要的服务 sudo systemctl stop service_name sudo systemctl disable service_name ``` ## 六、自动化安全检查脚本 创建一个自动化安全检查和加固脚本: ```bash #!/bin/bash # Linux服务器安全加固脚本 echo "=== Linux服务器安全加固开始 ===" # 1. 更新系统 echo "1. 更新系统包..." apt update && apt upgrade -y # 2. 安装必要工具 echo "2. 安装安全工具..." apt install -y fail2ban ufw logwatch # 3. 备份SSH配置 echo "3. 备份SSH配置..." cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup.$(date +%Y%m%d) # 4. SSH加固 echo "4. SSH安全加固..." cat > /etc/ssh/sshd_config.d/99-security.conf </dev/null || true done # 7. 锁定关键文件 echo "7. 锁定关键文件..." chattr +i /etc/passwd 2>/dev/null || true chattr +i /etc/shadow 2>/dev/null || true chattr +i /etc/group 2>/dev/null || true # 8. 配置fail2ban echo "8. 配置fail2ban..." cat > /etc/fail2ban/jail.local < /root/security_report.txt < /var/log/security_weekly.log date >> /var/log/security_weekly.log # 检查失败的SSH登录 echo "=== SSH暴力破解尝试 ===" >> /var/log/security_weekly.log grep "Failed password" /var/log/auth.log | tail -20 >> /var/log/security_weekly.log # 检查异常的root登录 echo "=== Root登录记录 ===" >> /var/log/security_weekly.log grep "Accepted password for root" /var/log/auth.log >> /var/log/security_weekly.log # 检查新增用户 echo "=== 新增用户 ===" >> /var/log/security_weekly.log lastlog | grep "Never" >> /var/log/security_weekly.log # 检查磁盘使用 echo "=== 磁盘使用情况 ===" >> /var/log/security_weekly.log df -h >> /var/log/security_weekly.log # 检查系统更新 echo "=== 可用更新 ===" >> /var/log/security_weekly.log apt list --upgradable >> /var/log/security_weekly.log ``` 设置定时任务: ```bash # 每天凌晨2点执行安全检查 0 2 * * * /path/to/security_check.sh # 每周日凌晨3点执行完整安全扫描 0 3 * * 0 /path/to/weekly_security_scan.sh ``` ## 八、最佳实践总结 ### 1. 分层防护策略 - **网络层**:防火墙配置、端口管理 - **系统层**:用户权限、文件权限、服务管理 - **应用层**:SSH配置、数据库安全、Web服务加固 - **监控层**:日志分析、入侵检测、行为监控 ### 2. 常用安全检查命令 ```bash # 检查登录失败记录 grep "Failed password" /var/log/auth.log # 检查成功的root登录 grep "Accepted password for root" /var/log/auth.log # 检查端口监听 netstat -tlnp ss -tlnp # 检查运行的服务 systemctl list-units --type=service --state=running # 检查用户登录历史 last lastlog # 检查系统负载和进程 top htop ps aux --sort=-%cpu | head -10 ``` ### 3. 应急响应准备 - 定期备份重要配置文件 - 准备系统恢复脚本 - 建立事件响应流程 - 保持安全工具更新 ## 结语 Linux服务器安全加固是一个持续的过程,需要定期审查和更新安全配置。本文提供的加固方案涵盖了从基础配置到高级防护的各个方面,建议根据实际业务需求选择合适的安全控制措施。 记住:**安全不是一次性的任务,而是需要持续关注和维护的系统工程**。将本文的加固步骤脚本化并定期执行,可以大大提高服务器的安全防护能力。 --- **参考资料**: 1. Linux安全加固实战:从SSH配置、防火墙到用户权限最小化 2. 企业级Linux安全指南:SSH、sudo权限、防火墙、入侵检测 3. Linux服务器部署后的必备配置与优化指南 > **安全提示**:在实际环境中应用这些配置时,建议先在测试环境中验证,确保不会影响业务服务的正常运行。 ## 同分类近期文章 ### [OS UI 指南的可操作模式:嵌入式系统的约束输入、导航与屏幕优化"](/posts/2026/02/27/actionable-palm-os-ui-patterns-for-modern-embedded-systems/) - 日期: 2026-02-27 - 分类: [general](/categories/general/) - 摘要: Palm OS UI 原则,针对现代嵌入式小屏系统,给出输入约束、导航流程和屏幕地产的具体工程参数与实现清单。" ### [GNN 自学习适应的工程实践:动态阈值调优、收敛监控与增量更新"](/posts/2026/02/27/ruvector-gnn-self-learning-adaptation/) - 日期: 2026-02-27 - 分类: [general](/categories/general/) - 摘要: 中实时自学习图神经网络适应的工程实现,给出动态阈值调优、收敛监控和针对边向量图的增量更新参数与监控清单。" ### [cli e2ee walkie talkie terminal audio opus tor](/posts/2026/02/26/cli-e2ee-walkie-talkie-terminal-audio-opus-tor/) - 日期: 2026-02-26 - 分类: [general](/categories/general/) - 摘要: Phone项目,工程化CLI对讲机:终端音频I/O多路复用、Opus压缩阈值、Tor/WebRTC信令、噪声抑制参数与终端流式传输实践。" ### [messageformat runtime parsing compilation optimization](/posts/2026/02/16/messageformat-runtime-parsing-compilation-optimization/) - 日期: 2026-02-16 - 分类: [general](/categories/general/) - 摘要: 暂无摘要 ### [grpc encoding chain from proto to wire](/posts/2026/02/14/grpc-encoding-chain-from-proto-to-wire/) - 日期: 2026-02-14 - 分类: [general](/categories/general/) - 摘要: 暂无摘要