0

0

Linux 系统安全加固与防护

舞夢輝影

舞夢輝影

发布时间:2026-02-28 16:36:40

|

927人浏览过

|

来源于php中文网

原创

最有效禁用root远程ssh登录是设permitrootlogin no并重载sshd服务;/tmp需挂载noexec,nosuid,nodev防提权;fail2ban应启用sshd-ddos jail并匹配invalid user日志;systemd服务要设nonewprivileges、capabilityboundingset和protectsystem=strict。

linux 系统安全加固与防护

如何快速禁用 root 远程 SSH 登录

直接改 /etc/ssh/sshd_config 里的 PermitRootLogin 是最有效的方式,但改完不重启服务或不重载配置,等于没做。

  • 必须设为 PermitRootLogin no(不是 without-passwordprohibit-password,后者仍允许密钥登录,风险未清)
  • 修改后运行 sudo systemctl reload sshd(Ubuntu/Debian)或 sudo systemctl reload sshd(RHEL/CentOS),restart 更稳妥但会断当前连接
  • 操作前确保你已有另一个具备 sudo 权限的普通用户,且该用户已配好 SSH 密钥——否则可能被锁在系统外
  • 检查是否生效:用 ssh root@host 测试,应直接拒绝;再查日志 sudo journalctl -u sshd | grep "root" 确认无成功登录记录

为什么 /tmp 必须挂载 noexec,nosuid,nodev

默认的 /tmp 是攻击者提权的高频跳板,比如上传恶意 ELF 文件直接执行,或利用 setuid 程序绕过权限限制。

  • /etc/fstab 中添加对应挂载选项:tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0
  • 立即生效用 sudo mount -o remount,noexec,nosuid,nodev /tmp,但重启后失效——必须写进 /etc/fstab
  • 注意:某些老旧软件(如部分 Java 应用、临时编译脚本)会往 /tmp 写可执行文件,启用 noexec 后会报 Permission denied 错误,需排查并迁移临时工作目录
  • nodev 防止在 /tmp 创建设备节点(如 /tmp/attack_dev),nosuid 让任何 setuid 位在该目录下失效

fail2ban 配置里最容易漏掉的三个匹配项

默认的 sshd jail 往往只拦密码爆破,对暴力扫端口、SSH 协议探测、甚至成功登录后的异常命令行为完全无感。

Shoping购物网源码
Shoping购物网源码

该系统采用多层模式开发,这个网站主要展示女装的经营,更易于网站的扩展和后期的维护,同时也根据常用的SQL注入手段做出相应的防御以提高网站的安全性,本网站实现了购物车,产品订单管理,产品展示,等等,后台实现了动态权限的管理,客户管理,订单管理以及商品管理等等,前台页面设计精致,后台便于操作等。实现了无限子类的添加,实现了动态权限的管理,支持一下一个人做的辛苦

下载
  • /etc/fail2ban/jail.local 中启用 sshd-ddos jail,它专门匹配大量短连接(sshd\[.*\]: Connection closed by invalid user 类日志)
  • 加一条自定义 filter:匹配 Failed password for .* from <host></host> 的同时,也捕获 Invalid user .* from <host></host> ——后者常被忽略,但正是扫描器最活跃的痕迹
  • bantime 设为 1h 以上(如 3600),别用默认的 10mfindtime 建议设为 600(10 分钟),避免误伤内网扫描或运维误操作
  • 验证是否生效:用 sudo fail2ban-client status sshd 查当前封禁 IP;日志路径要和 filter 定义一致,常见错配是 /var/log/auth.log(Debian) vs /var/log/secure(RHEL)

systemd 服务最小权限原则怎么落地

多数人只记得加 User=,但真正关键的是限制能力(capabilities)、文件系统访问和网络范围。

  • 在 service 文件的 [Service] 段加 NoNewPrivileges=yes,阻止进程后续通过 execve 提权
  • CapabilityBoundingSet= 显式声明所需能力,例如 Web 服务只需 cap_net_bind_service(绑定 1024 以下端口),删掉 cap_sys_admincap_dac_override 等高危项
  • ProtectSystem=strictProtectHome=yes 能阻断对 /usr/boot/home 的写入,但要注意:若服务需要写日志到 /var/log/myapp/,得额外用 ReadWritePaths=/var/log/myapp
  • 测试权限是否真受限:启动后进容器或用 sudo nsenter -t $(pgrep myapp) -r -w /bin/sh,尝试 touch /tmp/testcat /proc/kcore,应失败

安全加固不是堆配置,而是每次加一条规则,都得反问一句:这个服务真的需要它吗?很多崩溃和兼容问题,都源于过度限制后没验证真实路径和依赖。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
堆和栈的区别
堆和栈的区别

堆和栈的区别:1、内存分配方式不同;2、大小不同;3、数据访问方式不同;4、数据的生命周期。本专题为大家提供堆和栈的区别的相关的文章、下载、课程内容,供大家免费下载体验。

429

2023.07.18

堆和栈区别
堆和栈区别

堆(Heap)和栈(Stack)是计算机中两种常见的内存分配机制。它们在内存管理的方式、分配方式以及使用场景上有很大的区别。本文将详细介绍堆和栈的特点、区别以及各自的使用场景。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

599

2023.08.10

磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1541

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

715

2023.06.29

linux find
linux find

find是linux命令,它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合,只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression,在命令列上第一个 - ( ) , ! 之前的部分为 path,之后的是 expression。还有指DOS 命令 find,Excel 函数 find等。本站专题提供linux find相关教程文章,还有相关

300

2023.06.30

linux修改文件名
linux修改文件名

本专题为大家提供linux修改文件名相关的文章,这些文章可以帮助用户快速轻松地完成文件名的修改工作,大家可以免费体验。

793

2023.07.05

linux系统安装教程
linux系统安装教程

linux系统是一种可以免费使用,自由传播,多用户、多任务、多线程、多CPU的操作系统。本专题提供linux系统安装教程相关的文章,大家可以免费体验。

585

2023.07.06

linux查看文件夹大小
linux查看文件夹大小

Linux是一种自由和开放源码的类Unix操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。linux怎么查看文件夹大小呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

566

2023.07.20

Golang 测试体系与代码质量保障:工程级可靠性建设
Golang 测试体系与代码质量保障:工程级可靠性建设

Go语言测试体系与代码质量保障聚焦于构建工程级可靠性系统。本专题深入解析Go的测试工具链(如go test)、单元测试、集成测试及端到端测试实践,结合代码覆盖率分析、静态代码扫描(如go vet)和动态分析工具,建立全链路质量监控机制。通过自动化测试框架、持续集成(CI)流水线配置及代码审查规范,实现测试用例管理、缺陷追踪与质量门禁控制,确保代码健壮性与可维护性,为高可靠性工程系统提供质量保障。

6

2026.02.28

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.9万人学习

Git 教程
Git 教程

共21课时 | 3.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号