Linux系统加固围绕最小权限、纵深防御、持续监控三大原则，通过禁用非必要账户与服务、强化SSH认证、精简端口、收紧文件权限、启用日志审计与入侵检测实现。

Linux系统加固不是堆砌工具，而是围绕“最小权限、纵深防御、持续监控”三个核心原则做减法和加固。重点不在功能多全，而在攻击面够小、配置够严、响应够快。

账户与认证安全

默认账户和弱密码是入侵第一跳板。必须清理或禁用所有非必要用户，尤其是root直接登录。

• 执行 sudo passwd -l root 禁用root密码登录（改用sudo+普通用户）
• 用 sudo usermod -s /usr/sbin/nologin username 禁用仅用于服务的账户交互式登录
• 在 /etc/ssh/sshd_config 中设 PermitRootLogin no、PasswordAuthentication no（启用密钥认证后）
• 安装 faillock（RHEL/CentOS）或 pam_faillock.so（Debian/Ubuntu），限制5次失败后锁定15分钟

服务与端口精简

每多一个运行的服务，就多一个潜在漏洞入口。只开必需端口，关掉所有默认启用但实际不用的服务。

• 用 ss -tuln 或 netstat -tuln 查看监听端口，对照业务确认是否必要
• 停用非必要服务：sudo systemctl disable --now avahi-daemon cupsd rpcbind（常见冗余服务）
• 用 ufw（Ubuntu）或 firewalld（RHEL）设置默认拒绝策略，再按需放行端口（如只允SSH 22、HTTP 80/443）
• 对Web服务，把Nginx/Apache运行用户改为专用低权限用户（如 www-data），禁止其shell访问

文件系统与权限控制

敏感文件被篡改或误读，常导致提权或信息泄露。关键在于权限收紧 + 不可写 + 审计跟踪。

• 加固关键配置文件：sudo chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow；设权限为 644（passwd）或 600（shadow）
• 挂载时启用安全选项：在 /etc/fstab 中为根分区添加 nodev,nosuid,noexec（对/tmp、/var/tmp等临时目录尤其重要）
• 启用 aide（高级入侵检测）定期校验关键文件哈希，初始化后存于只读介质或远程服务器
• 用 chattr +i /etc/passwd 锁定关键文件（需先卸载SELinux/AppArmor冲突项，慎用）

日志与监控不可少

没日志=没证据；不分析=没响应。加固必须包含“可观测性闭环”——记录谁、何时、做了什么。

• 确保 rsyslog 或 syslog-ng 运行，并将日志发往远程服务器（防本地删日志）
• 开启命令审计：在 /etc/audit/rules.d/audit.rules 加入 -a always,exit -F arch=b64 -S execve（记录所有命令执行）
• 每日检查 /var/log/auth.log（Debian）或 /var/log/secure（RHEL）中的异常登录、sudo操作、失败认证
• 部署轻量级IDS如 ossec-hids 或 wazuh，自动告警暴力破解、敏感文件修改、异常进程启动

基本上就这些。不复杂但容易忽略——真正有效的加固，90%靠配置严谨，10%靠工具辅助。上线前跑一遍CIS Benchmark检查清单，比装十个“安全软件”更实在。

# linux  # word  # centos  # node  # apache  # nginx  # app  # 端口  # ubuntu  # 工具  # ai  # 配置文件  # 堆  # var  # http  # ssh  # debian  # 闭环  # 尤其是  # 而在  # 三大  # 误读  # 一遍  # 并将  # 文件系统  # 关键在于  # 就多 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： jQuery中的100个技巧汇总  独立制作一个网站多少钱,建立网站需要花多少钱？  Laravel怎么在Controller之外的地方验证数据  Laravel Pest测试框架怎么用_从PHPUnit转向Pest的Laravel测试教程  如何用低价快速搭建高质量网站？  Laravel如何实现用户角色和权限系统_Laravel角色权限管理机制  如何在阿里云部署织梦网站？  Laravel怎么导出Excel文件_Laravel Excel插件使用教程  敲碗10年！Mac系列传将迎来「触控与联网」双革新  如何在阿里云虚拟服务器快速搭建网站？  JavaScript如何实现错误处理_try...catch如何捕获异常？  大型企业网站制作流程,做网站需要注册公司吗？  三星网站视频制作教程下载,三星w23网页如何全屏？  浅谈Javascript中的Label语句  javascript基本数据类型及类型检测常用方法小结  微信公众帐号开发教程之图文消息全攻略  浅析上传头像示例及其注意事项  教你用AI润色文章，让你的文字表达更专业  Laravel如何使用Laravel Vite编译前端_Laravel10以上版本前端静态资源管理【教程】  Laravel如何实现登录错误次数限制_Laravel自带LoginThrottles限流配置【方法】  作用域操作符会触发自动加载吗_php类自动加载机制与::调用【教程】  制作网站软件推荐手机版,如何制作属于自己的手机网站app应用？  Laravel如何使用软删除（Soft Deletes）功能_Eloquent软删除与数据恢复方法  ,怎么在广州志愿者网站注册？  如何在万网主机上快速搭建网站？  HTML5空格和margin有啥区别_空格与外边距的使用场景【说明】  Gemini怎么用新功能实时问答_Gemini实时问答使用【步骤】  ,在苏州找工作，上哪个网站比较好？  黑客如何通过漏洞一步步攻陷网站服务器？  如何为不同团队 ID 动态生成多个“认领值班”按钮  怎么用AI帮你为初创公司进行市场定位分析？  微信小程序制作网站有哪些,微信小程序需要做网站吗？  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  弹幕视频网站制作教程下载,弹幕视频网站是什么意思？  ,南京靠谱的征婚网站？  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  Win11怎么设置默认图片查看器_Windows11照片应用关联设置  DeepSeek是免费使用的吗 DeepSeek收费模式与Pro版本功能详解  javascript读取文本节点方法小结  Laravel如何实现API版本控制_Laravel API版本化路由设计策略  今日头条AI怎样推荐抢票工具_今日头条AI抢票工具推荐算法与筛选【技巧】  如何快速重置建站主机并恢复默认配置？  Laravel如何为API生成Swagger或OpenAPI文档  Laravel路由怎么定义_Laravel核心路由系统完全入门指南  如何在建站之星网店版论坛获取技术支持？  Laravel的Blade指令怎么自定义_创建你自己的Laravel Blade Directives  如何在IIS中新建站点并配置端口与IP地址？  Laravel怎么实现一对多关联查询_Laravel Eloquent模型关系定义与预加载【实战】  网站制作大概多少钱一个,做一个平台网站大概多少钱？