Linux生产环境安全基线以“最小权限、可控访问、可审计、防篡改”为核心,涵盖账户认证、服务端口、文件权限、日志审计四方面规范,强调安全与可用性平衡。
Linux生产环境安全基线不是堆砌一堆加固命令,而是围绕“最小权限、可控访问、可审计、防篡改”四个核心建立的一套可持续运行的配置规范。关键在于平衡安全性与可用性,避免因过度限制影响业务稳定性。
账户与认证安全
生产系统必须杜绝默认账户和弱密码风险。禁用或重命名root以外的系统账户(如sync、shutdown、halt),确保仅保留必要服务账户;所有登录用户强制使用SSH密钥认证,禁用密码登录(PasswordAuthentication no);设置PAM策略限制失败登录次数(如auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900);定期清理无主文件(find / -nouser -o -nogroup -print)并核查sudo权限分配,禁止直接授予ALL=(ALL) NOPASSWD。
服务与端口最小化
只运行业务必需的服务,其余全部关闭。使用systemctl list-unit-files --type=service | grep enabled检查启用服务,逐个确认用途;禁用非必要网络服务(如rpcbind、avahi-daemon、cups);用ss -tuln验证监听端口,对非业务端口(如25、111、631)在防火墙层直接DROP;Web类服务统一走反向代理(Nginx/Apache),后端应用不直接暴露80/443以外端口;数据库仅绑定内网地址(如bind-address = 127.0.0.1或具体业务网段)。
标签: linux word node apache nginx 防火墙 端口 后端 ai 配置文件
还木有评论哦,快来抢沙发吧~