Linux系统基础安全如何配置_新装系统必做加固项【指导】

新装Linux系统必须完成6项基础安全配置：①关闭非必要服务与端口；②强制SSH密钥登录并禁用root远程直连；③启用并配置防火墙默认拒绝入站；④设置强密码策略与登录失败锁定；⑤创建专用管理账号并禁用交互式shell；⑥启用auditd审计及日志轮转。

新装 Linux 系统后，不立即加固就等于裸奔。真正有效的基础安全配置不是堆砌功能，而是聚焦攻击面最小化、权限最小化、认证可信化这三件事。以下 6 项是上线前必须完成的操作，每项都对应高频入侵入口。

关闭非必要服务与监听端口

默认安装常开启 FTP、telnet、rpcbind、NFS 等高危服务，它们极易成为突破口。

• 运行 ss -tuln 或 netstat -tuln 查看所有监听端口，识别非业务必需项
• 对确认冗余的服务，执行 systemctl disable --now 服务名（如 vsftpd、telnetd）
• 特别注意禁用 rpcbind 和 ntpd（若无需时间同步可关），避免被用于 DDoS 反射攻击

强制 SSH 密钥登录 + 禁用 root 远程直连

密码暴力破解占 Linux 入侵事件的 70% 以上，SSH 是首要防线。

• 编辑 /etc/ssh/sshd_config，确保以下三项生效：
  PermitRootLogin no
  PasswordAuthentication no
  PubkeyAuthentication yes
• 建议修改默认端口（如设为 2222），避开自动化扫描器首轮探测
• 重启前务必用新密钥登录测试成功，再执行 systemctl restart sshd

启用并配置防火墙（firewalld / iptables）

系统自带防火墙是成本最低、见效最快的网络访问控制手段。

标签： linux word centos cad 防火墙 access 端口 ubuntu ai linux系统 red