0

0

Linux 安全加固自动化实践

舞夢輝影

舞夢輝影

发布时间:2026-02-24 18:35:42

|

384人浏览过

|

来源于php中文网

原创

linux安全加固可通过ansible批量执行、shell脚本轻量自动化、openscap合规扫描修复及systemd timer周期检查四路径实现。

linux 安全加固自动化实践

在 Linux 系统部署后,若未及时实施基础安全配置,可能面临弱口令登录、未授权服务暴露、日志缺失等风险。以下是实现 Linux 安全加固自动化的具体操作路径:

一、使用 Ansible 批量执行加固任务

Ansible 无需目标主机安装客户端,通过 SSH 连接并以 YAML 描述状态,适合统一管理多台服务器的安全基线。其 Playbook 可固化 CIS Benchmark 中的检查项与修复动作。

1、在控制节点安装 ansible:执行 sudo apt install ansible(Debian/Ubuntu)或 sudo yum install ansible(RHEL/CentOS)。

2、创建 inventory 文件,列出待加固主机 IP 地址及 SSH 用户信息。

3、编写 playbook.yml,包含禁用 root 远程登录、设置密码复杂度策略、关闭非必要端口等任务模块。

4、运行 ansible-playbook -i inventory playbook.yml 启动批量加固流程。

二、基于 Shell 脚本实现轻量级自动化加固

Shell 脚本适用于单机快速响应场景,可封装常见加固动作为可重复调用的函数,配合定时任务定期执行。

1、创建脚本文件 secure_setup.sh,并添加执行权限:chmod +x secure_setup.sh

2、在脚本中写入修改 /etc/ssh/sshd_config 的逻辑:将 PermitRootLogin 设置为 no,PasswordAuthentication 设为 no。

3、调用 pam_pwquality.so 配置密码策略,向 /etc/pam.d/common-password 添加 password requisite pam_pwquality.so retry=3 minlen=10 difok=3

4、执行脚本:sudo ./secure_setup.sh

新思创OA办公自动化系统增强版
新思创OA办公自动化系统增强版

中国最实用的办公自动化系统,全面提升单位的工作效率和质量,整合企业资源,规范办公流程,加快信息流通,提高办公效率,降低办公成本,通过提高执行力来完善管理,从而提升企业竞争力 含公告通知、文件传送、电子通讯薄、日程安排、工作日记、工作计划、个人(公共)文件柜、网上申请和审批、电子邮件、手机短信、个人考勤、知识管理、人事管理、车辆管理、会议管理、印信管理、网上填报、规章制度、论坛、网络会议、语音聊天、

下载

三、利用 OpenSCAP 进行合规性扫描与自动修复

OpenSCAP 提供对 SCAP 标准的支持,能依据 NIST SP 800-53 或 CIS Linux 检查清单进行评估,并通过 oscap-ssh 工具远程触发修复动作。

1、在目标主机安装 openscap-scanner:sudo apt install openscap-scanner

2、下载 CIS Ubuntu 20.04 Level 2 Benchmark 的 .xml 内容文件。

3、执行扫描并生成修复脚本:oscap xccdf eval --profile xccdf_org.cisecurity.benchmarks_profile_Level_2_Server --remediate --results results.xml --report report.html cis-benchmark.xml

4、运行生成的 remediation.sh:sudo bash remediation.sh

四、通过 systemd timer 实现周期性加固检查

systemd timer 可替代 cron,提供更精确的时间控制与依赖管理能力,用于定期验证关键加固项是否仍生效。

1、编写 check_hardening.service,定义 ExecStart 为检测 SSH 配置与用户密码过期策略的 shell 命令。

2、创建 check_hardening.timer,设置 OnCalendar=weekly,Persistent=true。

3、启用定时器:sudo systemctl daemon-reload && sudo systemctl enable --now check_hardening.timer

4、查看下次触发时间:sudo systemctl list-timers check_hardening.timer

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
pdf怎么转换成xml格式
pdf怎么转换成xml格式

将 pdf 转换为 xml 的方法:1. 使用在线转换器;2. 使用桌面软件(如 adobe acrobat、itext);3. 使用命令行工具(如 pdftoxml)。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

1934

2024.04.01

xml怎么变成word
xml怎么变成word

步骤:1. 导入 xml 文件;2. 选择 xml 结构;3. 映射 xml 元素到 word 元素;4. 生成 word 文档。提示:确保 xml 文件结构良好,并预览 word 文档以验证转换是否成功。想了解更多xml的相关内容,可以阅读本专题下面的文章。

2109

2024.08.01

xml是什么格式的文件
xml是什么格式的文件

xml是一种纯文本格式的文件。xml指的是可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。想了解更多相关的内容,可阅读本专题下面的相关文章。

1135

2024.11.28

磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1541

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

715

2023.06.29

linux find
linux find

find是linux命令,它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合,只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression,在命令列上第一个 - ( ) , ! 之前的部分为 path,之后的是 expression。还有指DOS 命令 find,Excel 函数 find等。本站专题提供linux find相关教程文章,还有相关

300

2023.06.30

linux修改文件名
linux修改文件名

本专题为大家提供linux修改文件名相关的文章,这些文章可以帮助用户快速轻松地完成文件名的修改工作,大家可以免费体验。

792

2023.07.05

linux系统安装教程
linux系统安装教程

linux系统是一种可以免费使用,自由传播,多用户、多任务、多线程、多CPU的操作系统。本专题提供linux系统安装教程相关的文章,大家可以免费体验。

584

2023.07.06

Golang 生态工具与框架:扩展开发能力
Golang 生态工具与框架:扩展开发能力

《Golang 生态工具与框架》系统梳理 Go 语言在实际工程中的主流工具链与框架选型思路,涵盖 Web 框架、RPC 通信、依赖管理、测试工具、代码生成与项目结构设计等内容。通过真实项目场景解析不同工具的适用边界与组合方式,帮助开发者构建高效、可维护的 Go 工程体系,并提升团队协作与交付效率。

1

2026.02.24

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.6万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号