Linux如何加强服务器账号安全_Linux账户安全加固指南

加强Linux服务器账号安全需遵循最小权限与纵深防御原则。1. 强化账号口令策略：清理无用账号，确保仅root拥有UID 0，设置密码有效期（90天强制更换、7天最短修改间隔、到期前14天提醒），通过PAM模块 enforce 密码复杂度（至少三类字符、最小12位），并配置登录失败锁定（如5次错误锁定5分钟）。2. 加固SSH远程登录：禁止root直接登录，禁用密码认证、启用密钥认证，限制允许登录的用户或组，结合防火墙控制访问来源，可选修改默认SSH端口以减少暴力破解尝试。3. 精细化权限管理：通过sudo分配最小必要权限，限制su命令仅wheel组可用，保护关键文件权限（如/etc/shadow为600、/etc/passwd为644），防止越权操作。

加强Linux服务器的账号安全是系统防护的基础。核心思路是“最小权限”和“纵深防御”，从用户管理、密码策略到登录方式，每个环节都需严格把关。

1. 账号与口令策略强化

这是最基础也是最重要的一环，确保账户本身难以被破解或滥用。

• 清理无用账号：定期检查 /etc/passwd 文件，删除或锁定（passwd -l username）不再需要的系统账户和用户账户，减少潜在的攻击入口。
• 杜绝异常高权账号：执行 awk -F: '($3 == 0) { print $1 }' /etc/passwd，确认UID为0的只有root账户。任何其他UID为0的账户都拥有等同于root的最高权限，必须立即处理。
• 设置密码有效期：编辑 /etc/login.defs 文件，强制密码定期更换。
  • PASS_MAX_DAYS 90：新用户密码最长使用90天。
  • PASS_MIN_DAYS 7：两次修改密码的最小间隔为7天，防止用户快速循环改回旧密码。
  • PASS_WARN_AGE 14：密码到期前14天开始提醒用户。
• 实施密码复杂度：利用PAM模块（如 pam_pwquality.so）强制密码强度。在 /etc/pam.d/system-auth 中配置，要求密码至少包含大写字母、小写字母、数字和特殊符号中的三类，并设定最小长度（如12位）。添加 enforce_for_root 确保root用户的密码也受此规则约束。
• 账户锁定策略：配置PAM的 pam_tally2.so 或 pam_faillock.so 模块，实现登录失败锁定。例如，连续输错5次密码后锁定账户5分钟，能有效抵御暴力破解。

2. SSH远程登录安全加固

SSH是管理服务器的主要通道，也是最常见的攻击目标，必须进行严格配置。

Qwen

阿里巴巴推出的一系列AI大语言模型和多模态模型

691

查看详情

• 禁止root直接登录：在 /etc/ssh/sshd_config 中将 PermitRootLogin 设置为 no。管理员应先以普通用户身份登录，再通过 sudo 执行特权命令。
• 禁用密码认证，使用密钥对：将 PasswordAuthentication 设为 no，并确保 PubkeyAuthentication 为 yes。为每个用户生成唯一的SSH密钥对，并将公钥部署到服务器的 ~/.ssh/authorized_keys 文件中。这比密码更安全且方便自动化。
• 限制访问来源：使用 AllowUsers 或 AllowGroups 指令精确控制哪些用户或组可以登录。结合防火墙，可进一步限制只允许特定IP或IP段连接SSH端口。
• 修改默认端口（可选）：将默认的22端口改为一个高位端口（如22222），虽然不能阻止有目的的扫描，但可以大幅减少来自互联网的随机暴力破解尝试。

3. 权限精细化管理

避免用户拥有超出其工作所需的权限，遵循最小权限原则。

• 善用sudo机制：不要随意分发root密码。通过 visudo 命令编辑 /etc/sudoers 文件，为普通用户或组分配执行特定命令的权限。例如，可以只允许某个用户重启web服务，而不能执行其他系统级操作。
• 限制su命令：默认情况下，知道密码的用户都可以用 su 切换到root。可以通过配置PAM（如 pam_wheel.so）来限制，只有加入wheel组的用户才能使用 su 命令。
• 关键文件权限保护：确保敏感文件的权限正确。例如，/etc/shadow 的权限应为600，所有者为root；/etc/passwd 应为644。使用 chown 和 chmod 命令进行修正。

以上就是Linux如何加强服务器账号安全_Linux账户安全加固指南的详细内容，更多请关注php中文网其它相关文章！