Linux系统如何加固_深度讲解提升系统稳定性【教程】

Linux系统加固核心是缩小攻击面、强化身份控制、收紧默认策略，需锁定非必要账户、强制密码策略、禁用root远程登录、精简服务端口、加固文件权限、启用日志审计、管理内核模块与自动更新，并持续复核。

Linux系统加固不是加几条防火墙规则就完事，核心是缩小攻击面、强化身份控制、收紧默认策略。重点不在“装了什么”，而在“关掉什么、限制什么、记录什么”。

账户与口令策略必须收紧

默认配置往往宽松，比如新建用户无密码过期、root可直接登录、弱口令允许通过。这些都要改。

• 锁定非必要系统账户：用 passwd -l username 禁用如sync、shutdown、halt等预置账户（root除外）
• 强制密码有效期：编辑 /etc/login.defs，设 PASS_MAX_DAYS 90、PASS_MIN_LEN 8、PASS_WARN_AGE 7
• 启用PAM复杂度校验：在 /etc/pam.d/system-auth 中添加 pam_pwquality.so retry=3 minlen=8 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
• 禁止root远程SSH登录：修改 /etc/ssh/sshd_config 中的 PermitRootLogin no，然后 systemctl restart sshd

服务与端口按需精简

开机自启的服务越多，潜在入口就越多。只留真正需要的，其余一律关闭或禁用。

• 查当前监听端口：ss -tuln 或 netstat -tuln（若已安装）
• 停用并禁用非必要服务：例如 systemctl stop avahi-daemon && systemctl disable avahi-daemon
• 用 systemctl list-unit-files --type=service --state=enabled 检查所有开机启动项，逐个评估
• 对Web类服务（如httpd/nginx），限制监听地址为 127.0.0.1 或内网IP，避免暴露公网

文件权限与日志审计不能松懈

关键配置文件被篡改、敏感操作没记录，等于给入侵者铺路。

Reachout.ai

一个AI驱动的视频开发平台，专为忙碌的企业家和销售团队打造

142

查看详情

• 加固关键文件权限：chmod 600 /etc/shadow /etc/gshadow、chmod 644 /etc/passwd /etc/group
• 启用日志轮转和远程日志：配置 /etc/logrotate.d/rsyslog，并考虑用 rsyslog 将日志发往专用日志服务器
• 开启失败登录审计：确保 /var/log/secure 和 /var/log/auth.log 可写且不被普通用户删除（可用 chattr +a 设追加只写）
• 检查SUID/SGID异常文件：find / -perm -4000 -o -perm -2000 -type f 2>/dev/null | grep -E "(bin|sbin)"，确认每个是否合理

内核与更新机制要主动管理

老旧内核有已知漏洞，手动更新又易遗漏。自动化+最小化是关键。

• 禁用不必要的内核模块：在 /etc/modprobe.d/blacklist.conf 中添加 install usb-storage /bin/false 等行
• 启用内核保护机制：确认 /proc/sys/kernel/kptr_restrict 值为 2，/proc/sys/kernel/dmesg_restrict 为 1
• 设置自动安全更新（CentOS/RHEL系）：yum install yum-cron，启用并配置 /etc/yum/yum-cron.conf 中的 update_cmd = security
• 定期检查已安装包漏洞：dnf updateinfo list security（RHEL/CentOS 8+）或 apt list --upgradable（Debian/Ubuntu）

基本上就这些。加固不是一次性的动作，而是持续的过程——新服务上线要重审、新用户加入要重控、每次内核升级后要复核防护状态。不复杂但容易忽略。

以上就是Linux系统如何加固_深度讲解提升系统稳定性【教程】的详细内容，更多请关注php中文网其它相关文章！