linux生产环境安全加固是一套覆盖系统配置、权限控制、日志审计、网络防护和持续运维的综合方案,核心目标为最小权限原则、攻击面收敛、行为可追溯、异常可响应。
Linux生产环境安全加固不是靠一两个命令或工具就能完成的,而是一套覆盖系统配置、权限控制、日志审计、网络防护和持续运维的综合方案。核心目标是:最小权限原则、攻击面收敛、行为可追溯、异常可响应。
系统初始化与基础配置加固
新部署的服务器必须从源头杜绝默认风险:
- 禁用root远程SSH登录,强制使用普通用户+密钥认证,同时关闭密码登录(PasswordAuthentication no)
- 精简开机自启服务,仅保留必要项(如sshd、chronyd、firewalld),用systemctl list-enabled检查并禁用无关服务
- 设置强密码策略和账户锁定机制(通过/etc/pam.d/common-password配置pam_pwquality.so和pam_faillock.so)
- 同步时间并启用NTP校验,防止因时间偏差导致证书失效或日志混乱
用户与权限精细化管控
避免“一个账号走天下”,按角色划分权限边界:
RMI远程方法调用 word版
下载
Raza Microelectronics, Inc.(RMI公司)是勇于创新的信息基础架构半导体解决方案领导厂商,其产品广泛地被应用于改善不断演进的信息基础设施。在这个演进过程中,数据中心和家庭之间的连接在强度和速率方面都逐渐升级;安全和智能化已经成为每一个网络系统环境的要求;同时,边缘网络日益成为瓶颈,促使业界需要更具扩展能力及成本优势的智能网络接入方法。RMI公司为信息基础架构设计并提供多样化的解决方案,为下一代灵活的企业和数据中心应用、智能接入和数字影像系统奠定基础。 RMI远程方法调用目录 一、
- 为不同运维人员创建独立账号,禁止共享账户;敏感操作(如sudo重启服务)需二次确认或审批流程支持
- 限制sudo权限粒度,不用ALL=(ALL) ALL,改用/etc/sudoers.d/下按组定义命令白名单(如只允许%deploy执行/usr/bin/systemctl restart nginx)
- 定期清理无主文件(find / -nouser -o -nogroup -print)和长期未登录账号(lastlog -b 90)
网络与服务层防护
让服务“只说该说的话,只听该听的人”:
- 默认拒绝所有入站连接(firewalld或iptables设为DROP策略),再按需开放端口(如仅允许特定IP段访问22、443)
- Web服务(Nginx/Apache)禁用目录浏览、隐藏版本号、限制上传路径执行权限,静态资源走CDN并配置WAF规则
- 数据库(MySQL/PostgreSQL)绑定内网地址(bind-address = 127.0.0.1或业务网段),禁用匿名用户,删除test库,开启慢查询日志用于异常行为分析
日志、监控与应急响应准备
安全不是不出事,而是出事后能快速定位、止损、复盘:
- 集中收集关键日志(auth.log、secure、messages、nginx access/error、auditd日志),使用rsyslog或filebeat转发至专用日志平台(如ELK/Splunk)
- 启用auditd审计关键系统调用(execve、setuid、chmod、chown等),规则写入/etc/audit/rules.d/并持久化加载
- 部署轻量级入侵检测(如AIDE做文件完整性校验,定期比对/etc、/bin、/sbin等关键路径哈希值)
- 制定明确的应急响应清单:包括备份恢复流程、可疑进程终止命令、网络隔离脚本、取证快照方法(如ps auxf、netstat -tulnp、lsof -i)
