Linux系统如何加固_常见安全漏洞修复策略与最佳配置指引【教程】

Linux系统加固需理清攻击面、堵住入口、收紧配置。关闭无用服务端口，强化SSH（禁root、密钥登录、改端口），落实最小权限，启用UFW和fail2ban等基础防护，并定期审计更新。

Linux系统加固不是装几个工具就完事，关键是理清攻击面、堵住常见入口、收紧默认配置。下面这些操作覆盖了90%的生产环境高频风险点，按优先级和实操性整理，不堆概念，直接上干货。

关闭无用服务与端口

默认安装常带一堆不用的服务（如telnet、ftp、rpcbind），它们是攻击者第一波扫描目标。先查正在监听的端口和服务：

• netstat -tuln 或 ss -tuln 查看监听端口
• systemctl list-unit-files --type=service | grep enabled 看哪些服务开机自启
• 确认非必要服务（比如cups、avahi-daemon、postfix若不用邮件功能）→ systemctl disable --now cups.service

特别注意：云服务器默认开放22（SSH）和80/443，其他端口一律用防火墙显式放行，别依赖“没开服务就安全”。

强化SSH登录安全

SSH是Linux最常被暴力破解的入口，必须改默认配置：

ListenLeap

AI辅助通过播客学英语

217

查看详情

• 编辑 /etc/ssh/sshd_config，确保以下几项已设：
• PermitRootLogin no（禁root远程直登）
• PasswordAuthentication no（强制密钥登录）
• Port 2222（改非标端口，防脚本扫22）
• MaxAuthTries 3 和 LoginGraceTime 60（限制试错频次与时长）
• 改完运行 systemctl restart sshd，并先用新密钥连通再退出，避免锁死

最小权限原则落地

别让普通用户有sudo权限，也别让服务进程跑在root下：

• 用 usermod -aG sudo username 谨慎加人进sudo组，且配合 visudo 限定命令（如只允许重启nginx）
• Web服务（nginx/apache）用独立低权用户运行：user nginx; 在配置里指定，而非默认用root启worker
• 检查关键目录权限：/etc/shadow 必须是 000 或 400，/etc/passwd 可读但不能写；用 chmod 600 /etc/shadow 修复

启用基础防护层

不用装复杂IDS，Linux自带工具就能挡大部分自动化攻击：

• UFW（Uncomplicated Firewall）：一行启用 ufw enable，默认拒绝入站，再按需放行：ufw allow 2222/tcp
• fail2ban：监控日志自动封IP，装完启动即可生效：apt install fail2ban && systemctl enable --now fail2ban
• Automatic security updates：Ubuntu/Debian开自动更新：apt install unattended-upgrades && dpkg-reconfigure -plow unattended-upgrades

基本上就这些。加固不是一劳永逸，而是定期检查（比如每月跑一次 lynis audit system）、及时关新暴露的端口、不给root密码、不重用密钥——安全不在多，而在稳。

以上就是Linux系统如何加固_常见安全漏洞修复策略与最佳配置指引【教程】的详细内容，更多请关注php中文网其它相关文章！