Linux系统如何加固_完整流程拆解让问题迎刃而解【指导】

Linux系统加固围绕“最小权限、及时更新、有效监控、纵深防御”四原则系统性收缩攻击面，涵盖账户认证强化、服务端口精简、文件权限加固及日志审计响应四大环节，强调可验证、可回溯、可持续的闭环实践。

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控、纵深防御”四个核心原则，系统性地收缩攻击面。关键不在于一步到位，而在于每一步都可验证、可回溯、可持续。

一、基础账户与认证强化

默认账户和弱密码是入侵的第一突破口。必须从登录入口开始收紧：

• 禁用或删除无用系统账户（如games、lp、sync），保留仅root和必要运维账号
• 强制密码复杂度：编辑/etc/pam.d/common-password，加入password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
• 限制root远程登录：在/etc/ssh/sshd_config中设PermitRootLogin no，改用普通用户+sudo方式管理
• 启用SSH密钥登录并禁用密码登录：PubkeyAuthentication yes + PasswordAuthentication no，重启sshd生效

二、服务与端口精简控制

每个运行的服务都是潜在风险点。目标是“只开必需的，关掉所有默认多余的”：

• 列出当前监听端口：ss -tuln 或 netstat -tuln，重点关注非业务端口（如25、111、631）
• 停止并禁用无关服务：systemctl stop avahi-daemon cups rpcbind，再执行systemctl disable ...
• 配置防火墙（推荐nftables）：默认策略设为DROP，仅放行业务所需端口（如80/443/22），禁止全网段SSH（如限制ip saddr 192.168.10.0/24 tcp dport 22 accept）
• 检查开机自启项：systemctl list-unit-files --state=enabled，逐个确认必要性

三、文件系统与权限加固

防止提权和后门驻留，需严格约束关键路径的可写性和执行权限：

标签： linux word centos node go 微信 防火墙 app 企业微信 端口 ubuntu 工具 ai li