Linux系统广泛用于服务器、云计算和企业环境，其安全性高度依赖管理员的配置水平。如果安全配置不当，即使是Linux系统也可能遭遇入侵、提权、数据泄露或DDoS攻击。

本文将从账户权限、SSH安全、防火墙、系统更新、日志审计等多个维度，系统讲解Linux系统安全加固方法。

一、Linux系统安全加固核心目标

Linux安全加固的核心目标包括：

• 防止未授权登录

• 限制系统权限滥用

• 阻止网络攻击与端口入侵

• 保护关键数据文件

• 提高系统可追溯性与审计能力

二、账户与权限安全加固（最重要）

1. 禁止直接使用root账号登录

建议：

• 使用普通用户登录

• 通过 sudo 提权执行管理操作

2. 创建专用管理用户

示例：

adduser adminuser
usermod -aG sudo adminuser

优点：

• 权限可控

• 降低误操作风险

3. 设置强密码策略

建议：

• 至少12位以上

• 包含大小写 + 数字 + 符号

• 定期更换密码

4. 锁定无用账号

查看用户：

cat /etc/passwd

锁定账号：

usermod -L username

三、SSH远程登录安全加固（重点）

1. 修改默认SSH端口

编辑配置文件：

/etc/ssh/sshd_config

修改：

Port 2222

优点：

• 减少自动扫描攻击

2. 禁止root远程登录

配置：

PermitRootLogin no

3. 使用密钥登录（强烈推荐）

生成密钥：

ssh-keygen -t rsa

复制到服务器：

ssh-copy-id user@server

4. 禁用密码登录（进阶）

PasswordAuthentication no

效果：

• 只允许密钥登录

• 防止暴力破解

5. 重启SSH服务

systemctl restart sshd

四、防火墙安全加固

1. 使用firewalld（CentOS/RHEL）

开启防火墙：

systemctl enable firewalld
systemctl start firewalld

2. 开放必要端口

firewall-cmd --permanent --add-port=22/tcp
firewall-cmd --reload

3. 使用ufw（Ubuntu）

ufw enable
ufw allow 22
ufw allow 80
ufw allow 443

4. 默认拒绝所有入站流量

增强安全策略：

• 只开放必要端口

五、系统更新与补丁加固

1. 定期更新系统

Ubuntu/Debian：

apt update && apt upgrade -y

CentOS/RHEL：

yum update -y

2. 开启自动安全更新（推荐）

作用：

• 自动修复漏洞

• 防止0day攻击

六、服务与端口安全加固

1. 关闭不必要服务

查看服务：

systemctl list-units --type=service

关闭服务：

systemctl disable service_name

2. 检查开放端口

ss -tulnp

3. 最小化服务原则

只保留：

• SSH

• Web服务（Nginx/Apache）

• 数据库（必要时）

七、文件与系统权限加固

1. 文件权限控制

设置权限：

chmod 600 file.txt

含义：

• 仅所有者可读写

2. 关键目录保护

重点目录：

• /etc

• /var

• /root

3. 防止提权攻击

检查SUID文件：

find / -perm -4000 2>/dev/null

八、日志与审计加固

1. 查看登录日志

cat /var/log/auth.log

2. 使用auditd审计系统

安装：

apt install auditd

3. 实时监控异常登录

工具：

• fail2ban（推荐）

作用：

• 自动封禁暴力破解IP

九、网络安全加固

1. 防止DDoS攻击基础配置

• 限制连接数

• 限制IP访问频率

2. 禁止不必要公网暴露

避免：

• 数据库直接暴露公网

• Redis未加密暴露

3. 使用安全DNS

推荐：

• 1.1.1.1

• 8.8.8.8

十、高级安全加固（企业级）

1. SELinux / AppArmor

作用：

• 强制访问控制

• 限制进程权限

2. 容器隔离（Docker安全）

建议：

• 限制容器权限

• 不使用root容器

3. VPN访问内网

作用：

• 隐藏真实服务器IP

• 提高访问安全性

十一、常见安全问题

1. SSH被暴力破解

解决：

• 改端口

• 使用密钥登录

• 安装fail2ban

2. 服务器被入侵

处理：

• 立即断网

• 检查异常进程

• 更换SSH密钥

3. 网站被挂马

原因：

• 权限过大

• 未更新漏洞

解决：

• 修复文件权限

• 更新系统补丁

十二、安全加固最佳实践

建议遵循：

• 最小权限原则

• 禁止root远程登录

• 使用SSH密钥认证

• 开启防火墙

• 定期系统更新

• 安装入侵防护工具

总结

Linux系统安全加固的核心思路是：

减少暴露面 + 限制权限 + 强化认证 + 实时监控

关键措施包括：

• SSH安全加固（禁root + 密钥登录）

• 防火墙严格控制端口

• 系统及时更新补丁

• fail2ban防暴力破解

• 权限最小化控制

通过系统化安全加固，可以显著提升Linux服务器的安全等级，有效防止入侵、提权和数据泄露风险。